PFC German Ramirez Rodriguez

Universidad Carlos III de Madrid
Repositorio institucional e-Archivo http://e-archivo.uc3m.es

Trabajos acadmicos Proyectos Fin de Carrera
2009
Sobre la auditora informtica y LOPD

desde la experiencia personal y profesional
Ramrez Rodrguez, Germn
http://hdl.handle.net/10016/6136
Descargado de e-Archivo, repositorio institucional de la Universidad Carlos III de Madrid

SOBRE LA AUDITORA INFORMTICA Y
LOPD DESDE LA EXPERIENCIA PERSONAL
Y PROFESIONAL
UNIVERSIDAD CARLOS III DE MADRID

ESCUELA POLITECNICA SUPERIOR
Ingeniera Tcnica en Informtica de

Gestin
Autor: Germn Ramrez Rodrguez

Tutor: Prof. Miguel A. Ramos
2009
Sobre la auditora informtica y LOPD desde la
experiencia personal y profesional
A mis padres, todo un

ejemplo de sacrificio, en especial a
mi padre por recordarme cada maana
antes de ir a uno de sus dos trabajos
diarios que aprovechase el tiempo.
A Ana, por siempre estar a mi lado, para
lo bueno y lo malo siempre te he tenido ah para
apoyarme o para no confiarme mostrndome
los detalles que no todos ven.
Finalmente, a mis hermanos, que aunque
no fueron nunca el mejor apoyo, si lo
intentaron, y si que fueron un ejemplo
de cmo hacer las cosas.
Proyecto fin de carrera de Germn Ramrez Rodrguez 1

ndice
1- Introduccin
2- Objetivo
3- Qu es la auditora informtica?
4- mbitos de aplicacin de la auditora informtica
5- Tipos de Auditora Informtica
6- Principales pruebas y herramientas de la auditora informtica
7- Ventajas y Desventajas de la auditora informtica
8- Resultados y Productos de una auditora informtica interna
i. R.D. 994/1999(RDLOPD 1720/2007 Ttulo VIII actualmente):
Medidas de seguridad en el tratamiento de datos de carcter
personal.
ii. Modelo Conceptual de la exposicin final
iii. Metodologa CRMR
1. Sistemtica para la evaluacin y clculo del ciclo de seguridad
2. Perfiles profesionales de auditores informticos
9- Resultados y Productos de una auditora informtica externa
a. Legislacin Vigente
b. La autorregulacin: los cdigos tipo
i. Los cdigos tipo inscritos
1. Pasos previos a la recogida de informacin
2. Durante el tratamiento de los datos
3. Una vez finalizado el tratamiento

10- Por qu no se aplica una auditora informtica? (con ejemplos)
11- Soluciones a como afrontar el resultado de una auditora informtica
a. Seguridad y Proteccin de la Informacin
b. Gestin de la calidad del Software
c. Poltica de seguridad
12- Definicin de una aplicacin que afronta este problema:
i. Objetivo del programa
ii. mbito de la aplicacin
iii. Por qu usarlo?
iv. Ideas y Ventajas.
13- Experiencias previas del alumno
14- Es la solucin una certificacin?
15- Glosario de trminos
16- Acrnimos
17- Bibliografa y Agradecimientos

1. Introduccin
Durante tres aos he trabajado mediante becas como tcnico de sistemas en

varias empresas e instituciones, y en ese tiempo he podido comprobar de
primera mano como todas las empresas poseen mtodos para controlar tanto
la seguridad, como la eficiencia y efectividad de sus sistemas de informacin; y
como en todas ellas esos procedimientos son falseados, esquivados, poco
utilizados e incluso olvidados por su poco uso.
Como becario en todas ellas fui instruido en como realizar dichos procesos de
seguimiento y control desde el primer da, y en todos ellos ms tarde, tambin
fui instruido de cmo deba falsearlos, saltrmelos o no aplicarlos en
determinadas ocasiones.
Es la realidad que yo he podido observar en mis experiencias laborables, no

estoy hablando de un grupo de trabajo que se niega a realizar unos
procedimientos agarrndose en el siempre hemos trabajado as, sino que
adems de esto el no conceder importancia por parte de los gestores a la
documentacin y forma de controlar sus proyectos, lleva a la prdida continua
de tiempo intilmente. Al igual que un programador cuando sube a un
repositorio una nueva versin pone un comentario a su nuevo archivo
indicando sus nuevas utilidades y fecha de actualizacin, el no hacer algo tan
sencillo como esto lleva a que un compaero elimine una versin mejorada con
una propia inutilizando la labor del primero, esto que parece hoy en da
increble por los programas de ayuda que utilizamos en los repositorios, no es
tan extrao cuando no se presta atencin a como actualizamos la informacin,
combinado adems con la tendencia a utilizar trucos para agilizar los
procesos.

En este proyecto parto de la base de que no estoy inventando nada nuevo, solo
haciendo hincapi en la situacin actual de las empresas que conozco directa o
indirectamente sin incidir en su tamao o experiencia como organizacin.
Muchas empresas de seguridad se fundamentan en que no hay nada seguro al
100% pero que si no prestamos atencin a ello ni siquiera damos sensacin
de seguridad a los futuros clientes o posibles atacantes del gnero que sean,
es decir, ya no partimos de la base de que siempre existen agujeros si no de
que una empresa puede aparentar ser ms o menos sensible al ataque por
parte de gente malintencionada en base a la imagen que da al exterior por lo
que ser ms o menos propensa a ataques por ello, ah es donde yo quiero
reflejar en mi trabajo que muchas empresas hoy en da, partieron de unas
buenas bases e ideas de cara a la organizacin segura y controlada de sus
sistemas de informacin y acabaron derivando en agilizar el proceso lo cual
influye negativamente en la seguridad y rendimiento de la empresa e incluso
vulnerndose derechos sobre la proteccin de datos sin intencin de ello, todo
ello se incrementa en el tiempo hasta la llegada de una auditora o la intrusin
de una persona ajena a la empresa que produce daos en sta.
El libro que tiene en sus manos muestra las bases de la auditora informtica,
haciendo una importante referencia a la ley de proteccin de datos vigente en
el territorio espaol, partiremos desde su concepto, sus productos, sus tipos,
sus aplicaciones e incluso llegaremos a ver como abordarla, como s que todo
esto es poco para un comit de direccin incluyo las bases de la proteccin de
datos en Espaa a da de hoy, y la demostracin a un nivel muy bsico de un
programa que puede ayudar a la implantacin de las medidas aconsejadas por
una auditora, todo siempre con fines constructivos para la mejora de procesos
desde el rendimiento hasta la imagen final de cara al cliente.
Cabe destacar que en la realizacin del libro he partido del REAL DECRETO
1720/2007 del 21 de diciembre por el que se aprueba el Reglamento de
desarrollo de la ley Orgnica 15/1999, del 13 de septiembre, de proteccin de
datos de carcter personal, es importante destacar que el RD desarroll esta
ley con una nueva manera de tomar en cuenta el tratamiento de los ficheros en
los que se almacenan datos y las normas sobre cmo tratarlos segn su
importancia.

Veamos un pequeo resumen de cada uno de los temas tratados en el libro:
1- Qu es la auditora informtica?
Definicin del amplio concepto de la auditora informtica, objetivos,
aplicaciones en las empresas actuales, posibilidades de desarrollo.
2- mbitos de aplicacin de la auditora informtica

Analizaremos los diferentes mbitos de aplicacin de la auditora
informtica desde la seguridad (operativa de las aplicaciones de la
empresa, de funciones de respaldo, frente a posibles sabotajes,
personal informtico disponible, etc), pasando por la confidencialidad
y seguridad de la informacin (soportes, y acceso a estos), lo cual
adems afectar a la gestin de la calidad de la empresa y
finalizando con aspectos jurdicos y econmicos.
3- Tipos de Auditora Informtica

Veremos una seleccin de los tipos de auditoras informticas ms
destacables entre las que se suelen enfocar cualquier auditora en
base a unos objetivos que se desean mejorar en la empresa o
institucin.
4- Principales pruebas y herramientas de la auditora informtica.
El auditor dispone de una serie de pruebas y herramientas basadas en

su experiencia propia, dichas pruebas podran resumirse en Pruebas
clsicas (revisin de aplicaciones en base a datos de prueba),
Pruebas sustantivas verifican la exactitud, integridad y validez de la
informacin y finalmente Pruebas de cumplimiento las cuales
determinan si un sistema de control interno funciona adecuadamente
(segn la documentacin, segn declaran los auditados, segn las
polticas y procedimientos de la organizacin (normativa interna,
cdigos tipo, etc.), segn los estndares externos o incluso segn las
certificaciones obtenidas en el pasado), es decir, lo que se quiera
contratar para comprobar si se cumple.

5- Ventajas y Desventajas de la auditora informtica

Una auditora nos proporciona una informacin que debemos poner en
manos de las personas adecuadas, la idea es utilizar la informacin
obtenida para mejorar y para ello analizamos las siguientes preguntas:
Qu se hace? <-> Qu se debera hacer?

Lo que existe <-> Lo que debera existir
6- Resultados y Productos de una auditora informtica interna

Se analizan 2 principales aspectos de las auditoras informticas
internas, por un lado los objetivos pretendidos por la empresa
(evaluacin y mantenimiento de la calidad, custodia de activos o
fiabilidad de los datos, control del cumplimiento de las certificaciones
de la empresa, etc.. ) y por otro se hace un gran hincapi al reglamento
vigente sobre las medidas de seguridad de los ficheros automatizados
con datos personales que deben ajustarse a la LOPD.
i. R.D. 994/1999(RDLOPD 1720/2007 Ttulo VIII actualmente):

Medidas de seguridad en el tratamiento de datos de carcter
personal. Dispongo una trascripcin del reglamento, dicha
informacin es la que aparece en este apartado.
ii. Modelo Conceptual de la exposicin final: Defino de una

manera breve un ejemplo de informe interno de auditora
informtica.

iii. Metodologa CRMR
He credo interesante incluir esta metodologa ya que

define una manera de realizar una revisin de una manera
simple y eficaz, no tiene en s misma el grado de
profundidad de una auditora informtica global, pero
proporciona soluciones rpidas a problemas concretos y
notorios:
1. Sistemtica para la evaluacin y clculo del ciclo de seguridad

2. Perfiles profesionales de auditores informticos
7- Resultados y Productos de una auditora informtica externa
Analizo las bases de una auditora informtica externa o independiente

como son que tiene por objeto averiguar lo razonable, ntegro y
autntico de los estados, expedientes y documentos as como toda
aquella informacin producida por los sistemas de la organizacin.
Seguidamente vuelvo a hacer hincapi en la ley de proteccin de datos

sobre todo en la parte de los cdigos tipo, algo que me parece muy
interesante de cara al exterior de una empresa ya que tiene una
orientacin ms bien comercial o de marketing.
a. Legislacin Vigente
Puntualizo haciendo referencia a la legislacin vigente en referencia
al tema de la proteccin de datos, ya que a continuacin hablar en
ms profundidad de los cdigos tipo.
b. La autorregulacin: los cdigos tipo

Me gustara destacar que los cdigos tipo no dejan de ser algo
voluntario pero que en el momento que son adoptados por una
entidad deben de ser llevados estrictamente imponindose sanciones
en caso de no ser respetados.

i. Los cdigos tipo inscritos

Existen muchos cdigos tipo en nuestro pas cada uno
enfocado a un rea de mercado y es por ello que he
considerado interesante incluir un gran nmero de ellos en
este libro, para poder comparar similitudes y diferencias
entre ambos. Ms adelante defino el procedimiento para su
creacin, como deben tratarse los datos personales y una
vez finalizado este tratamiento los pasos a seguir ya que el
trabajo no se realiza una nica vez en el tiempo, sino que
debe mantenerse una continuidad.
3. Pasos previos a la recogida de informacin
8- Por qu no se aplica una auditora informtica? (con ejemplos)
En este apartado defino una serie de ejemplos donde han de existir una
serie de procedimientos para realizar las cosas bien, aunque la
experiencia me ha demostrado que en algunas empresas no se
mantiene en el tiempo esta atencin, lo que conlleva el declive de la
calidad de procedimientos, efectividad y seguridad de stos.
9- Soluciones a como afrontar el resultado de una auditora informtica
Intento enfocar que el resultado de un informe de auditora informtica

es una crtica constructiva de cualquier empresa, y debe por tanto ser
tomado en cuenta como tal. Defino tres grandes reas hacia las que
enfocar una auditora y propongo soluciones como las certificaciones
para mejorar principalmente en la gestin de la calidad del Software.
a. Seguridad y Proteccin de la Informacin
b. Gestin de la calidad del Software
c. Poltica de seguridad

10- Definicin de una aplicacin que afronta este problema:
Propongo una aplicacin desde mi punto de vista que ayude en la difcil

tarea de mantener unos niveles de calidad del software y seguridad de la
informacin con el paso del tiempo dentro de la empresa.
i. Objetivo del programa
ii. mbito de la aplicacin
iii. Por qu usarlo?
iv. Ideas y Ventajas.
11- Experiencias previas del alumno

Defino una serie de experiencias vividas en diferentes empresas y
entidades donde compruebo que una vez se tuvo intencin de hacer las
cosas bien, pero el resultado actual es otro muy distinto.
12- Es la solucin una certificacin?

Defino una serie de razones de porque una certificacin puede cubrir
ampliamente las necesidades descubiertas en algunas auditoras.

2. Objetivo
Gracias a la experiencia laboral adquirida mientras realiza mis estudios

universitarios, y a los conocimientos adquiridos en la Universidad Carlos III de
Madrid, he definido mi proyecto fin de carrera como una posible solucin que
de un toque de atencin a los dirigentes de cualquier empresa o institucin que
posea un Sistema de Informacin para agilizar y mejorar el rendimiento de su
actividad, hacindoles revisar hasta qu punto se est realizando lo que ellos
creen tener controlado desde el departamento de sistemas y/o sistema de
documentacin.
En la asignatura de Auditora Informtica aprend que siempre todo sistema

tiene algo que mejorar, es decir, por muy bien que se realicen las cosas, una
auditora reflejar debilidades y puntos fuertes de la empresa, lo que en
resumidas cuentas se transformarn en datos que siempre podrn ser
obtenidos mejores sobre todo teniendo en cuenta que estamos en un mundo
cambiante donde las tecnologas de la informacin nunca paran de avanzar
ofreciendo nuevas oportunidades para romper barreras de seguridad, o de
mejorar la eficiencia de un Sistema de Informacin. Un sistema que un ao es
impenetrable y muestra unas trazas de rendimiento muy ptimas puede quedar
completamente obsoleto reduciendo el rendimiento de ste con la instalacin
de una nueva versin de un software de bases de datos, o creando cientos de
nuevas grietas de seguridad que antes no existan. Es por ello, que debe
analizarse muy a fondo cada nuevo avance en el sistema, desde antes de su
implantacin, realizndose un seguimiento despus para comprobar su
rendimiento y seguridad actuales. Insisto en que mi idea no es nueva, pero el
fijar desde la direccin de la empresa hasta los departamentos una manera de
hacer las cosas y poder comprobar en cualquier momento que se est
siguiendo es vital.

Mi objetivo no es una crtica destructiva hacia nada ni nadie, sino todo lo

contrario, una crtica constructiva con la aportacin de una posible solucin
apoyndome en mi propia experiencia. Las auditoras sacan a la luz cosas que
los dirigentes de las empresas normalmente desconocen y que casi siempre
dejan caer sobre el departamento de sistemas en mayor o menor medida, las
auditoras internas son una solucin pero al igual que otras soluciones, todo lo
que supone perder un tiempo a los empleados de lo que es su trabajo directo
resulta molesto, y acaba por dejarse a un lado (posponindose
indefinidamente) o esquivarse de alguna manera (solo se auditan X proyectos
por rea de trabajo), fundamentarse en que el cliente no exige ese nivel de
documentacin no excusa al dirigente de un proyecto para no documentar su
trabajo, es por ello que hay que saber buscar un equilibrio entre control y
rendimiento, definir unos recursos adecuados y eficientes para tal fin que
controlen los procesos de un proyecto y ayuden a las personas que trabajan en
l a realizar sus trabajos de una manera ms eficiente.

3. Qu es la auditora informtica?
El trmino de Auditora se ha empleado incorrectamente con frecuencia ya que

se ha considerado como una evaluacin cuyo nico fin es detectar errores y
sealar el fallo. A causa de esto, se ha tomado la frase "Tiene Auditora" como
sinnimo de que, en dicha entidad, antes de realizarse la auditora, ya se
haban detectado fallos.
El concepto de auditora es mucho ms que esto. La palabra auditora proviene

del latn auditorius, y de esta proviene la palabra auditor, que se refiere a todo
aquel que tiene la virtud de or.
Por otra parte, el diccionario Espaol Sopena lo define como: Revisor de

Cuentas colegiado. En un principio esta definicin carece de la explicacin del
objetivo fundamental que persigue todo auditor: evaluar la eficiencia y eficacia.
De todo esto sacamos como deduccin que la auditora es un examen crtico

pero no mecnico, que no implica la preexistencia de fallos en la entidad
auditada y que persigue el fin de evaluar y mejorar la eficacia y eficiencia de
una seccin o de un organismo.
El auditor informtico ha de velar por la correcta utilizacin de los amplios

recursos que la empresa pone en juego para disponer de un eficiente y eficaz
Sistema de Informacin. Claro est, que para la realizacin de una auditora
informtica eficaz, se debe entender a la empresa en su ms amplio sentido, ya
que una Universidad, un Ministerio o un Hospital son tan empresas como una
Sociedad Annima o una multinacional privada. Todos utilizan la informtica
para gestionar sus "negocios" de forma rpida y eficiente con el fin de obtener
beneficios econmicos y reduccin de costes, pero todo ello en base a una
serie de objetivos que priorizarn ms unos aspectos frente a otros.

La Auditora Informtica de sistemas de informacin es el proceso de recoger,

agrupar y evaluar evidencias para determinar si un Sistema de Informacin
salvaguarda el activo empresarial, mantiene la integridad de los datos, lleva a
cabo eficazmente los fines de la organizacin, utiliza eficientemente los
recursos, y cumple con las leyes y regulaciones establecidas.
Al auditar principalmente se estudian los mecanismos de control que estn

implantados en una empresa u organizacin, determinando si los mismos son
adecuados y cumplen unos determinados objetivos o estrategias,
estableciendo los cambios que se deberan realizar para la consecucin de los
mismos, adems habr de evaluar los sistemas de informacin en general
desde sus entradas, procedimientos, controles, archivos, seguridad y obtencin
de informacin, hasta los mecanismos de control, los cuales pueden ser
directivos, preventivos, de deteccin, correctivos o de recuperacin ante una
contingencia.
Los objetivos de la auditora Informtica son:
El control de la funcin informtica

El anlisis de la eficiencia de los Sistemas Informticos
La verificacin del cumplimiento de la Normativa en este mbito
La revisin de la eficaz gestin de los recursos informticos
Comprobar la seguridad de la Informacin.
La auditora informtica sirve para mejorar ciertas caractersticas en la empresa

como:
Eficiencia
Eficacia
Rentabilidad
Seguridad
Aseguramiento de la calidad.

Generalmente se puede desarrollar en alguna o combinacin de las siguientes

reas:
Gobierno corporativo
Administracin del Ciclo de vida de los sistemas
Servicios de Entrega y Soporte
Proteccin y Seguridad
Planes de continuidad y Recuperacin de desastres.
La necesidad de contar con pautas a seguir predefinidas y herramientas

estndar para el ejercicio de la auditora informtica ha promovido la creacin y
desarrollo de mejores prcticas como COBIT, CMMI e ITIL. Todo ello generar
a su vez la creacin de certificaciones oficiales (ISO 20000, SCAMPI) que dan
un sello de calidad a la empresa / institucin que los posea ya que garantizan
una manera de hacer las cosas organizada, correctamente gestionada y eficaz,
adems de mantenerse en el tiempo ya que dichas certificaciones deben ser
renovadas con el paso de los aos.
La auditora informtica es un concepto mucho ms amplio que el de la

auditora de la seguridad informtica, partiendo de marcos de referencia como
COBIT e ITIL y aadiendo la parte de seguridad informtica estaremos
enfocando en gran medida el significado de la auditora informtica, control de
rendimiento y procesos por un lado y la seguridad de la informacin por otro.

4. mbitos de aplicacin de la auditora informtica.
La Auditora del Sistema de Informacin en la empresa, a travs de la

evaluacin y control que realiza, tiene como objetivo fundamental mejorar la
rentabilidad, la seguridad y la eficacia del sistema mecanizado de informacin
en que se sustenta.
En un principio veremos todo lo relacionado con la seguridad, luego trataremos

todo aquello relacionado con la eficacia y terminaremos con la evaluacin del
sistema informtico.
Los aspectos relativos al control de la Seguridad de la Informacin tienen tres

lneas bsicas en la auditora del sistema de informacin:
- Aspectos generales relativos a la seguridad. En este grupo de

aspectos habra que considerar, entre otros: la seguridad
operativa de los programas, seguridad en suministros y funciones
auxiliares, seguridad contra radiaciones, atmsferas agresivas,
agresiones y posibles sabotajes, seguridad fsica de las
instalaciones, del personal informtico, etc.
- Aspectos relativos a la confidencialidad y seguridad de la

informacin. Estos aspectos se refieren no solo a la proteccin
del material (los soportes de la informacin), sino tambin al
control de acceso a la propia informacin (a toda o a parte de ella,
con la posibilidad de introducir modificaciones en la misma
distintas personas poseedoras de distintos roles). La informacin
de la que se dispone debe ser ntegra, y un control de acceso a
esa informacin nos garantiza un servicio de no repudio.

- Aspectos jurdicos y econmicos relativos a la seguridad de la

informacin. En este grupo de aspectos se trata de analizar la
adecuada aplicacin del sistema de informacin en la empresa en
cuanto al derecho a la intimidad y el derecho a la informacin,
adems de controlar los cada vez ms frecuentes delitos
informticos que se cometen en las empresas. La propia dinmica
de las tecnologas de la informacin y su cada vez ms amplia
aplicacin en la empresa, ha propiciado la aparicin de estos
delitos informticos. En general, estos delitos pueden integrarse
en dos grandes grupos: delitos contra el sistema informtico y
delitos cometidos por medio del sistema informtico. En el primer
grupo se insertan figuras delictivas tipificadas en cualquier cdigo
penal, como hurto, robo, revelacin de secretos, etc.., y otro
conjunto de delitos que ya no es tan frecuente encontrar, al
menos con carcter general, perfectamente tipificados, como el
denominado hurto de tiempo, destruccin de bases de datos,
delitos contra la propiedad (material, terminales, discos duros,...).
En el conjunto de delitos informticos cometido por medio de
sistemas informticos cabra sealar, manipulaciones
fraudulentas de bases de datos, falsificaciones, estafas, etc.
De la misma manera, a travs de la auditora del sistema de informacin ser

necesario controlar el adecuado equilibrio entre riesgos y costes de seguridad,
y la eficacia del propio sistema.
En cuanto a la Eficacia del Sistema, sta vendr determinada, bsicamente,

por la aportacin a la empresa de una informacin vlida, exacta, completa,
actualizada y oportuna que ayude a la adopcin de decisiones, todo ello
medido en trminos de calidad, plazo y coste. Sin el adecuado control,
mediante la realizacin de auditoras al sistema de informacin, esos objetivos
seran difciles de conseguir, con la siguiente repercusin en una adecuada
direccin y gestin en la empresa.

Uno de los aspectos ms significativos de la Auditora Informtica se refiere a

los datos relativos a la Rentabilidad del Sistema, homogeneizados en
unidades econmicas de cuenta.
La rentabilidad del sistema debe ser medida mediante el anlisis de tres

valores fundamentales: la evaluacin de los costes actuales, la comparacin de
esos costes actuales con magnitudes representativas de la organizacin, y la
comparacin de los costes del sistema de informacin de la empresa con los
de empresas similares, preferentemente del mismo sector de actividad.

5. Tipos de Auditora informtica
Dentro de la auditora informtica destacan los siguientes tipos (entre otros):
Auditora de la gestin: Referido a la contratacin de bienes y

servicios, documentacin de los programas, etc.
Auditora legal del Reglamento de Proteccin de Datos:
Cumplimiento legal de las medidas de seguridad exigidas por el
Reglamento de desarrollo de la Ley Orgnica de Proteccin de Datos.
Auditora de los datos: Clasificacin de los datos, estudio de las
aplicaciones y anlisis de los flujogramas.
Auditora de las bases de datos: Controles de acceso, de
actualizacin, de integridad y calidad de los datos.
Auditora de la seguridad: Referidos a datos e informacin verificando
disponibilidad, integridad, confidencialidad, autenticacin y no repudio.
Auditora de la seguridad fsica: Referido a la ubicacin de la
organizacin, evitando ubicaciones de riesgo, y en algunos casos no
revelando la situacin fsica de esta. Tambin est referida a las
protecciones externas (arcos de seguridad, CCTV, vigilantes, etc.) y
protecciones del entorno.
Auditora de la seguridad lgica: Comprende los mtodos de
autenticacin de los sistemas de informacin.
Auditora de las comunicaciones. Se refiere a la auditora de los
procesos de autenticacin en los sistemas de comunicacin.
Auditora de la seguridad en produccin: Frente a errores, accidentes
y fraudes.

6. Principales pruebas y herramientas para efectuar una

auditora informtica
En la realizacin de una auditora informtica el auditor puede realizar las

siguientes pruebas:
Pruebas clsicas: Consiste en probar las aplicaciones / sistemas con

datos de prueba, observando la entrada, la salida esperada, y la salida
obtenida. Existen paquetes que permiten la realizacin de estas
pruebas.
Pruebas sustantivas: Aportan al auditor informtico suficientes
evidencias para que se pueda realizar un juicio imparcial. Se suelen
obtener mediante observacin, clculos, muestreos, entrevistas,
tcnicas de examen analtico, revisiones y conciliaciones. Verifican
asimismo la exactitud, integridad y validez de la informacin obtenida.
Pruebas de cumplimiento: Determinan si un sistema de control interno
funciona adecuadamente (segn la documentacin, segn declaran los
auditados y segn las polticas y procedimientos de la organizacin).
Las principales herramientas de las que dispone un auditor informtico son:
Observacin
Realizacin de cuestionarios
Entrevistas a auditados y no auditados
Muestreo estadstico
Flujogramas
Listas de comprobacin de realizacin de requisitos
Mapas conceptuales

7. Ventajas y Desventajas de la auditora informtica.
Me gustara primeramente considerar las ventajas y desventajas de un

software de auditora informtica:
Ventajas
- Econmico (a la larga, inversin de futuro)

- Extensin de pruebas
- Utilizacin de procedimientos de auditoras anteriores
- Eficacia
- Realizacin de cambios a un mnimo coste
- Elaboracin de informes
Desventajas
- Costo inicial alto

- El cdigo embebido puede ser borrado o modificado
- No se verifican procesos particulares sino genricos
- Limitada habilidad para determinar si la aplicacin es propensa a
error.
- Slo se verifican aplicaciones que se estn ejecutando.
- Las vulnerabilidades de este tipo de software pueden permitir
ataques.
Resumiendo auditar es comparar:
Qu se hace? <-> Qu se debera hacer?

Lo que existe <-> Lo que debera existir
Una auditora nos proporciona una informacin que debemos poner en manos
de las personas adecuadas, es decir, al igual que la auditora nos informa de
las cosas que se estn realizando bien en una empresa, tambin nos informa
de las que se estn haciendo mal, debemos utilizar la informacin de una
manera adecuada para nuestro beneficio. Todo esto nos lleva a pensar en el

cdigo tico de los auditores; ISACA tiene en cuenta este importante rasgo del
perfil del auditor y define algunas normas que deberan seguirse:
- Servir con diligencia, lealtad y honradez los intereses de los

auditores, accionistas, clientes y pblico en general.
- Confidencialidad, objetividad e independencia.
- Estndares, procedimientos y controles.
- Estar al da en auditora en informtica.
- Procurar pruebas objetivas suficientes.
- Informar a los interesados.
- Fomentar la formacin e informacin.
- Altos estndares de conducta (profesional y privada)
Al realizar una auditora el objetivo y el mbito deben estar claros, en cada

caso se realizar una revisin de control interno, su cumplimiento, sus costes,
la eficacia y eficiencia de la gestin, todo ello nos aportar datos para poder
comparar unos procesos con otros, unos departamentos con otros, e incluso
personas, tanto en el tiempo, como en base a unos objetivos definidos. Una
auditora sea interna u externa genera un informe con una serie de
recomendaciones en base a unos objetivos, un mbito y una profundidad
definiendo:
- Planes y objetivos
- Una revisin de controles y planes de riesgo
- Un cumplimiento de procedimientos internos y en base a una
normativa externa
- Una administracin de la seguridad
- Un proceso en entorno seguro
- Un desarrollo en entorno seguro
- Una continuidad
Llegados a este punto es donde la empresa debe decidir como abordar las
recomendaciones definidas por el auditor para el bienestar de su empresa.

8. Resultados y Productos de una auditora informtica interna.
Objetivos de la auditora interna:
Revisin y evaluacin de controles contables, financieros y operativos

Determinacin de la utilidad de polticas, planes y procedimientos, as
como su nivel de cumplimiento
Custodia y contabilizacin de activos
Examen de la fiabilidad de los datos
Divulgacin de polticas y procedimientos establecidos sobre todo
teniendo en cuenta los certificados obtenidos gracias a ellos.
Informacin exacta a la gerencia
En el caso de auditoras internas debera de tenerse muy en cuenta el marco

de la LOPD, ya que su no cumplimiento puede causar fuertes multas a la
empresa, algo tan sencillo como tirar a la basura currculos vitae de aspirantes
a una plaza despus de cubrirla supone el incumplimiento de la LOPD y en
caso de ser descubierto una fuerte multa para la empresa por no tener
controlada la forma de tratamiento de esos datos, eso era un ejemplo de datos
impresos que recoge recursos humanos en breve espacio de tiempo, ahora
veamos un poco ms a fondo a que se refiere la LOPD en el tratamiento de
ficheros con datos de carcter personal:
R.D. 994/1999 (RLOPD 1720/2007 Ttulo VIII actualmente): Reglamento de

medidas de seguridad de los ficheros automatizados que contengan
datos de carcter personal
Artculo 96. Auditora.
1. A partir del nivel medio, los sistemas de informacin e instalaciones de

tratamiento y almacenamiento de datos se sometern, al menos cada
dos aos, a una auditora interna o externa que verifique el cumplimiento
del presente ttulo.

Con carcter extraordinario deber realizarse dicha auditora siempre

que se realicen modificaciones sustanciales en el sistema de informacin
que puedan repercutir en el cumplimiento de las medidas de seguridad
implantadas con el objeto de verificar la adaptacin, adecuacin y
eficacia de las mismas. Esta auditora inicia el cmputo de dos aos
sealado en el prrafo anterior.
2. El informe de auditora deber dictaminar sobre la adecuacin de las

medidas y controles a la Ley y su desarrollo reglamentario, identificar
sus deficiencias y proponer las medidas correctoras o complementarias
necesarias.
Deber, igualmente, incluir los datos, hechos y observaciones en que se
basen los dictmenes alcanzados y las recomendaciones propuestas.
3. Los informes de auditora sern analizados por el responsable de

seguridad competente, que elevar las conclusiones al responsable del
fichero o tratamiento para que adopte las medidas correctoras
adecuadas y quedarn a disposicin de la Agencia Espaola de
Proteccin de Datos o, en su caso, de las autoridades de control de las
comunidades autnomas.
Artculo 110. Auditora. (Dentro de la seccin 2 Medidas de seguridad de nivel

medio)
Los ficheros comprendidos en la presente seccin se sometern, al menos

cada dos aos, a una auditora interna o externa que verifique el
cumplimiento del presente ttulo.

Artculo 81. Aplicacin de los niveles de seguridad.
1. Todos los ficheros o tratamientos de datos de carcter personal

debern adoptar las medidas de seguridad calificadas de nivel bsico.
2. Debern implantarse, adems de las medidas de seguridad de nivel

bsico, las medidas de nivel medio, en los siguientes ficheros o
tratamientos de datos de carcter personal:
o a) Los relativos a la comisin de infracciones

administrativas o penales.
o b) Aquellos cuyo funcionamiento se rija por el artculo 29

de la Ley Orgnica 15/1999, de 13 de diciembre.
o c) Aquellos de los que sean responsables Administraciones

tributarias y se relacionen con el ejercicio de sus
potestades tributarias.
o d) Aqullos de los que sean responsables las entidades

financieras para finalidades relacionadas con la prestacin
de servicios financieros.
o e) Aqullos de los que sean responsables las Entidades

Gestoras y Servicios Comunes de la Seguridad Social y se
relacionen con el ejercicio de sus competencias. De igual
modo, aquellos de los que sean responsables las mutuas
de accidentes de trabajo y enfermedades profesionales de
la Seguridad Social.
o f) Aqullos que contengan un conjunto de datos de carcter

personal que ofrezcan una definicin de las caractersticas
o de la personalidad de los ciudadanos y que permitan
evaluar determinados aspectos de la personalidad o del
comportamiento de los mismos.

3. Adems de las medidas de nivel bsico y medio, las medidas de

nivel alto se aplicarn en los siguientes ficheros o tratamientos de
datos de carcter personal:
o a) Los que se refieran a datos de ideologa, afiliacin

sindical, religin, creencias, origen racial, salud o vida
sexual.
o b) Los que contengan o se refieran a datos recabados para

fines policiales sin consentimiento de las personas
afectadas.
o c) Aqullos que contengan datos derivados de actos de

violencia de gnero.
4. A los ficheros de los que sean responsables los operadores que

presten servicios de comunicaciones electrnicas disponibles al
pblico o exploten redes pblicas de comunicaciones electrnicas
respecto a los datos de trfico y a los datos de localizacin, se
aplicarn, adems de las medidas de seguridad de nivel bsico y
medio, la medida de seguridad de nivel alto contenida en el artculo
103 de este reglamento.
5. En caso de ficheros o tratamientos de datos de ideologa, afiliacin

sindical, religin, creencias, origen racial, salud o vida sexual bastar
la implantacin de las medidas de seguridad de nivel bsico cuando:
o a) Los datos se utilicen con la nica finalidad de realizar

una transferencia dineraria a las entidades de las que los
afectados sean asociados o miembros.
o b) Se trate de ficheros o tratamientos no automatizados en

los que de forma incidental o accesoria se contengan
aquellos datos sin guardar relacin con su finalidad.

6. Tambin podrn implantarse las medidas de seguridad de nivel

bsico en los ficheros o tratamientos que contengan datos relativos a
la salud, referentes exclusivamente al grado de discapacidad o la
simple declaracin de la condicin de discapacidad o invalidez del
afectado, con motivo del cumplimiento de deberes pblicos.
7. Las medidas incluidas en cada uno de los niveles descritos

anteriormente tienen la condicin de mnimos exigibles, sin perjuicio de
las disposiciones legales o reglamentarias especficas vigentes que
pudieran resultar de aplicacin en cada caso o las que por propia
iniciativa adoptase el responsable del fichero.
8. A los efectos de facilitar el cumplimiento de lo dispuesto en este

ttulo, cuando en un sistema de informacin existan ficheros o
tratamientos que en funcin de su finalidad o uso concreto, o de la
naturaleza de los datos que contengan, requieran la aplicacin de un
nivel de medidas de seguridad diferente al del sistema principal,
podrn segregarse de este ltimo, siendo de aplicacin en cada caso
el nivel de medidas de seguridad correspondiente y siempre que
puedan delimitarse los datos afectados y los usuarios con acceso a los
mismos, y que esto se haga constar en el documento de seguridad.
En el artculo 82 se nos habla del encargado del tratamiento de los datos y

pienso que es importante describir quien y cual es su funcin:
Encargado del tratamiento.
1. Cuando el responsable del fichero o tratamiento facilite el acceso a los datos,

a los soportes que los contengan o a los recursos del sistema de informacin
que los trate, a un encargado de tratamiento que preste sus servicios en los
locales del primero deber hacerse constar esta circunstancia en el documento
de seguridad de dicho responsable, comprometindose el personal del
encargado al cumplimiento de las medidas de seguridad previstas en el citado
documento.

Cuando dicho acceso sea remoto habindose prohibido al encargado

incorporar tales datos a sistemas o soportes distintos de los del responsable,
este ltimo deber hacer constar esta circunstancia en el documento de
seguridad del responsable, comprometindose el personal del encargado al
cumplimiento de las medidas de seguridad previstas en el citado documento.
2. Si el servicio fuera prestado por el encargado del tratamiento en sus propios

locales, ajenos a los del responsable del fichero, deber elaborar un
documento de seguridad en los trminos exigidos por el artculo 88 de este
reglamento o completar el que ya hubiera elaborado, en su caso, identificando
el fichero o tratamiento y el responsable del mismo e incorporando las medidas
de seguridad a implantar en relacin con dicho tratamiento.
3. En todo caso, el acceso a los datos por el encargado del tratamiento estar
sometido a las medidas de seguridad contempladas en este reglamento.
En el CAPITULO III del RD 1720 se nos definen una serie de medidas de

seguridad aplicables (a ficheros automatizados) segn su importancia,
citaremos algunas de ellas:
SECCIN 1. MEDIDAS DE SEGURIDAD DE NIVEL BSICO
Artculo 89. Funciones y obligaciones del personal.
1. Las funciones y obligaciones de cada uno de los usuarios o perfiles de

usuarios con acceso a los datos de carcter personal y a los sistemas de
informacin estarn claramente definidas y documentadas en el documento de
seguridad.

2. El responsable del fichero o tratamiento adoptar las medidas necesarias

para que el personal conozca de una forma comprensible las normas de
seguridad que afecten al desarrollo de sus funciones as como las
consecuencias en que pudiera incurrir en caso de incumplimiento.
Artculo 90. Registro de incidencias.
Deber existir un procedimiento de notificacin y gestin de las incidencias que

afecten a los datos de carcter personal y establecer un registro en el que se
haga constar el tipo de incidencia, el momento en que se ha producido, o en su
caso, detectado, la persona que realiza la notificacin, a quin se le comunica,
los efectos que se hubieran derivado de la misma y las medidas correctoras
aplicadas.
Artculo 91. Control de acceso.
1. Los usuarios tendrn acceso nicamente a aquellos recursos que precisen

para el desarrollo de sus funciones.
2. El responsable del fichero se encargar de que exista una relacin

actualizada de usuarios y perfiles de usuarios, y los accesos autorizados para
cada uno de ellos.
3. El responsable del fichero establecer mecanismos para evitar que un

usuario pueda acceder a recursos con derechos distintos de los autorizados.
4. Exclusivamente el personal autorizado para ello en el documento de

seguridad podr conceder, alterar o anular el acceso autorizado sobre los
recursos, conforme a los criterios establecidos por el responsable del fichero.

5. En caso de que exista personal ajeno al responsable del fichero que tenga
acceso a los recursos deber estar sometido a las mismas condiciones y
obligaciones de seguridad que el personal propio.
Artculo 92. Gestin de soportes y documentos.
1. Los soportes y documentos que contengan datos de carcter personal

debern permitir identificar el tipo de informacin que contienen, ser
inventariados y solo debern ser accesibles por el personal autorizado para ello
en el documento de seguridad.
Se exceptan estas obligaciones cuando las caractersticas fsicas del soporte

imposibiliten su cumplimiento, quedando constancia motivada de ello en el
documento de seguridad.
2. La salida de soportes y documentos que contengan datos de carcter

personal, incluidos los comprendidos y/o anejos a un correo electrnico, fuera
de los locales bajo el control del responsable del fichero o tratamiento deber
ser autorizada por el responsable del fichero o encontrarse debidamente
autorizada en el documento de seguridad.
3. En el traslado de la documentacin se adoptarn las medidas dirigidas a

evitar la sustraccin, prdida o acceso indebido a la informacin durante su
transporte.
4. Siempre que vaya a desecharse cualquier documento o soporte que

contenga datos de carcter personal deber procederse a su destruccin o
borrado, mediante la adopcin de medidas dirigidas a evitar el acceso a la
informacin contenida en el mismo o su recuperacin posterior.

5. La identificacin de los soportes que contengan datos de carcter personal

que la organizacin considerase especialmente sensibles se podr realizar
utilizando sistemas de etiquetado comprensibles y con significado que permitan
a los usuarios con acceso autorizado a los citados soportes y documentos
identificar su contenido, y que dificulten la identificacin para el resto de
personas.
Artculo 93. Identificacin y autenticacin.

1. El responsable del fichero o tratamiento deber adoptar las medidas que
garanticen la correcta identificacin y autenticacin de los usuarios.
2. El responsable del fichero o tratamiento establecer un mecanismo que

permita la identificacin de forma inequvoca y personalizada de todo aquel
usuario que intente acceder al sistema de informacin y la verificacin de que
est autorizado.
3. Cuando el mecanismo de autenticacin se base en la existencia de

contraseas existir un procedimiento de asignacin, distribucin y
almacenamiento que garantice su confidencialidad e integridad.
4. El documento de seguridad establecer la periodicidad, que en ningn caso

ser superior a un ao, con la que tienen que ser cambiadas las contraseas
que, mientras estn vigentes, se almacenarn de forma ininteligible.
Artculo 94. Copias de respaldo y recuperacin.
1. Debern establecerse procedimientos de actuacin para la realizacin como

mnimo semanal de copias de respaldo, salvo que en dicho perodo no se
hubiera producido ninguna actualizacin de los datos.

2. Asimismo, se establecern procedimientos para la recuperacin de los datos

que garanticen en todo momento su reconstruccin en el estado en que se
encontraban al tiempo de producirse la prdida o destruccin.
nicamente, en el caso de que la prdida o destruccin afectase a ficheros o

tratamientos parcialmente automatizados, y siempre que la existencia de
documentacin permita alcanzar el objetivo al que se refiere el prrafo anterior,
se deber proceder a grabar manualmente los datos quedando constancia
motivada de este hecho en el documento de seguridad.
3. El responsable del fichero se encargar de verificar cada seis meses la

correcta definicin, funcionamiento y aplicacin de los procedimientos de
realizacin de copias de respaldo y de recuperacin de los datos.
4. Las pruebas anteriores a la implantacin o modificacin de los sistemas de

informacin que traten ficheros con datos de carcter personal no se realizarn
con datos reales, salvo que se asegure el nivel de seguridad correspondiente al
tratamiento realizado y se anote su realizacin en el documento de seguridad.
Si est previsto realizar pruebas con datos reales, previamente deber haberse
realizado una copia de seguridad.
SECCIN 2. MEDIDAS DE SEGURIDAD DE NIVEL MEDIO
Artculo 95. Responsable de seguridad.
En el documento de seguridad debern designarse uno o varios responsables

de seguridad encargados de coordinar y controlar las medidas definidas en el
mismo.

Esta designacin puede ser nica para todos los ficheros o tratamientos de
datos de carcter personal o diferenciado segn los sistemas de tratamiento
utilizados, circunstancia que deber hacerse constar claramente en el
En ningn caso esta designacin supone una exoneracin de la

responsabilidad que corresponde al responsable del fichero o al encargado del
tratamiento de acuerdo con este reglamento.
Artculo 96. Auditora.
1. A partir del nivel medio de los sistemas de informacin e instalaciones de

tratamiento y almacenamiento de datos se sometern, al menos cada dos
aos, a una auditora interna o externa que verifique el cumplimiento del
presente ttulo.
Con carcter extraordinario deber realizarse dicha auditora siempre que se

realicen modificaciones sustanciales en el sistema de informacin que puedan
repercutir en el cumplimiento de las medidas de seguridad implantadas con el
objeto de verificar la adaptacin, adecuacin y eficacia de las mismas. Esta
auditora inicia el cmputo de dos aos sealado en el prrafo anterior.
2. El informe de auditora deber dictaminar sobre la adecuacin de las

medidas y controles a la Ley y su desarrollo reglamentario, identificar sus
deficiencias y proponer las medidas correctoras o complementarias necesarias.
Deber, igualmente, incluir los datos, hechos y observaciones en que se basen

los dictmenes alcanzados y las recomendaciones propuestas.

3. Los informes de auditora sern analizados por el responsable de seguridad

competente, que elevar las conclusiones al responsable del fichero o
tratamiento para que adopte las medidas correctoras adecuadas y quedarn a
disposicin de la Agencia Espaola de Proteccin de Datos o, en su caso, de
las autoridades de control de las comunidades autnomas.
Artculo 97. Gestin de soportes y documentos.
1. Deber establecerse un sistema de registro de entrada de soportes que

permita, directa o indirectamente, conocer el tipo de documento o soporte, la
fecha y hora, el emisor, el nmero de documentos o soportes incluidos en el
envo, el tipo de informacin que contienen, la forma de envo y la persona
responsable de la recepcin que deber estar debidamente autorizada.
2. Igualmente, se dispondr de un sistema de registro de salida de soportes

que permita, directa o indirectamente, conocer el tipo de documento o soporte,
la fecha y hora, el destinatario, el nmero de documentos o soportes incluidos
en el envo, el tipo de informacin que contienen, la forma de envo y la
persona responsable de la entrega que deber estar debidamente autorizada.
Artculo 98. Identificacin y autenticacin.
El responsable del fichero o tratamiento establecer un mecanismo que limite

la posibilidad de intentar reiteradamente el acceso no autorizado al sistema de
informacin.
Artculo 99. Control de acceso fsico.
Exclusivamente el personal autorizado en el documento de seguridad podr

tener acceso a los lugares donde se hallen instalados los equipos fsicos que
den soporte a los sistemas de informacin.

Artculo 100. Registro de incidencias.
1. En el registro regulado en el artculo 90 debern consignarse, adems, los

procedimientos realizados de recuperacin de los datos, indicando la persona
que ejecut el proceso, los datos restaurados y, en su caso, qu datos ha sido
necesario grabar manualmente en el proceso de recuperacin.
2. Ser necesaria la autorizacin del responsable del fichero para la ejecucin

de los procedimientos de recuperacin de los datos.
SECCIN 3. MEDIDAS DE SEGURIDAD DE NIVEL ALTO
Artculo 101. Gestin y distribucin de soportes.
1. La identificacin de los soportes se deber realizar utilizando sistemas de

etiquetado comprensibles y con significado que permitan a los usuarios con
acceso autorizado a los citados soportes y documentos identificar su contenido,
y que dificulten la identificacin para el resto de personas.
2. La distribucin de los soportes que contengan datos de carcter personal se

realizar cifrando dichos datos o bien utilizando otro mecanismo que garantice
que dicha informacin no sea accesible o manipulada durante su transporte.
Asimismo, se cifrarn los datos que contengan los dispositivos porttiles

cuando stos se encuentren fuera de las instalaciones que estn bajo el control
del responsable del fichero.
3. Deber evitarse el tratamiento de datos de carcter personal en dispositivos

porttiles que no permitan su cifrado. En caso de que sea estrictamente
necesario se har constar motivadamente en el documento de seguridad y se
adoptarn medidas que tengan en cuenta los riesgos de realizar tratamientos
en entornos desprotegidos.

Artculo 102. Copias de respaldo y recuperacin.
Deber conservarse una copia de respaldo de los datos y de los

procedimientos de recuperacin de los mismos en un lugar diferente de aquel
en que se encuentren los equipos informticos que los tratan, que deber
cumplir en todo caso las medidas de seguridad exigidas en este ttulo, o
utilizando elementos que garanticen la integridad y recuperacin de la
informacin, de forma que sea posible su recuperacin.
Artculo 103. Registro de accesos.
1. De cada intento de acceso se guardarn, como mnimo, la identificacin del

usuario, la fecha y hora en que se realiz, el fichero accedido, el tipo de acceso
y si ha sido autorizado o denegado.
2. En el caso de que el acceso haya sido autorizado, ser preciso guardar la

informacin que permita identificar el registro accedido.
3. Los mecanismos que permiten el registro de accesos estarn bajo el control

directo del responsable de seguridad competente sin que deban permitir la
desactivacin ni la manipulacin de los mismos.
4. El perodo mnimo de conservacin de los datos registrados ser de dos

aos.
5. El responsable de seguridad se encargar de revisar al menos una vez al

mes la informacin de control registrada y elaborar un informe de las
revisiones realizadas y los problemas detectados.
6. No ser necesario el registro de accesos definido en este artculo en caso de

que concurran las siguientes circunstancias:

a) Que el responsable del fichero o del tratamiento sea una persona

fsica.
b) Que el responsable del fichero o del tratamiento garantice que

nicamente l tiene acceso y trata los datos personales.
La concurrencia de las dos circunstancias a las que se refiere el apartado

anterior deber hacerse constar expresamente en el documento de seguridad.
Artculo 104. Telecomunicaciones.
Cuando, conforme al artculo 81.3 deban implantarse las medidas de seguridad

de nivel alto, la transmisin de datos de carcter personal a travs de redes
pblicas o redes inalmbricas de comunicaciones electrnicas se realizar
cifrando dichos datos o bien utilizando cualquier otro mecanismo que garantice
que la informacin no sea inteligible ni manipulada por terceros.

Ahora veremos detenidamente en que consiste un informe final de una

auditora realizada a una empresa y que consideraciones debemos tomar al
leerlo. Veamos primero su estructura y posteriormente el concepto de cada uno
de sus datos.
El informe comienza con una definicin de objetivos y alcance de la auditora.

Posteriormente se enumeran los temas objeto de la auditora:
Para cada tema, se seguir el siguiente orden a saber:
a) Situacin actual. Cuando se trate de una revisin peridica, en la

que se analiza no solamente una situacin sino adems su evolucin en
el tiempo, se expondr la situacin prevista y la situacin real.
b) Tendencias. Se tratarn de hallar parmetros que permitan

establecer tendencias futuras.
c) Puntos dbiles y amenazas.
d) Recomendaciones y planes de accin. Constituyen junto con la

exposicin de puntos dbiles, el verdadero objetivo de la auditora
informtica.
e) Redaccin posterior de la Carta de Introduccin o Presentacin.

Modelo conceptual de la exposicin del informe final:
- El informe solo incluir hechos importantes.

- El Informe consolidar los hechos que se describen en el mismo sin adornos
ni accesorios ya que eso tiende a desviar la atencin de los lectores.
El trmino de "hechos consolidados" adquiere un especial significado de

verificacin objetiva y de estar documentalmente probados y soportados.
La consolidacin de los hechos cumplirn, al menos los siguientes criterios:

El hecho debe poder ser sometido a cambios.
Las ventajas del cambio deben superar los inconvenientes derivados de
mantener la situacin.
No deben existir alternativas viables que superen al cambio propuesto.
La recomendacin del auditor sobre el hecho debe mantener o mejorar
las normas y estndares existentes en la instalacin.
La aparicin de un hecho en un informe de auditora implica
necesariamente la existencia de una debilidad que ha de ser corregida.
Proceso seguido al encontrar un hecho o debilidad:

1. Hecho encontrado.
Ser relevante para el auditor y para el cliente.
Ser concreto, y adems convincente.
No existirn hechos repetidos, por tanto deben de tomarse
todos en cuenta y no tomar como cubierto un hecho con la
solucin de otro.
2. Consecuencias del hecho
Las consecuencias estarn redactadas de modo que sean
directamente deducibles del hecho.
3. Repercusin del hecho
Aparecern las influencias directas que el hecho pueda
tener sobre otros aspectos informticos u otros mbitos de
la empresa.
4. Conclusin del hecho
En casos en que la exposicin de hechos haya sido muy
extensa o compleja, el auditor reflejar una conclusin que
lo resuma.

5. Recomendacin del auditor informtico

Ser de simple lectura, por lo que se entender por si sola
sin necesidad de presentaciones.
Ser suficientemente soportada en el propio texto.
Ser concreta y exacta en el tiempo, con lo que podr ser
verificada su implementacin.
La recomendacin ir dirigida expresamente a la persona o
personas que puedan implementarla.
Carta de introduccin o presentacin del informe final
La carta de introduccin tiene especial importancia porque en ella se resume la

auditora realizada. Se destina exclusivamente al responsable mximo de la
empresa, o a la persona concreta que encarg o contrat la auditora.
Aunque existirn tantas copias del informe Final como solicite el cliente, la
auditora no har copias de la citada carta de Introduccin.
La carta de introduccin poseer los siguientes atributos:

Tendr como mximo cuatro folios.
Incluir fecha, naturaleza, objetivos y alcance.
Cuantificar la importancia de las reas analizadas.
Proporcionar una conclusin general, concretando las reas de gran
debilidad.
Presentar las debilidades en orden de importancia y gravedad.
En la carta de Introduccin no poseer nunca recomendaciones.
Una buena manera de presentar este informe en base a unos datos es

fundamentndonos en una metodologa reconocida y experimentada, pero a la
vez sencilla y eficaz como lo es la CRMR (Computer resource management
review).

Definicin de la metodologa CRMR
CRMR o Evaluacin de la gestin de recursos informticos, en esta

terminologa se destaca la posibilidad de realizar una evaluacin de eficiencia
de utilizacin de los recursos por medio de la gestin (management).
Esta manera de realizar una revisin no tiene en s misma el grado de

profundidad de una auditora informtica global, pero proporciona soluciones
rpidas a problemas concretos y notorios.
Supuestos de aplicacin
En funcin de la definicin dada, la metodologa abreviada CRMR es aplicable

ms a deficiencias organizativas y gerenciales que a problemas de tipo tcnico,
pero no cubre cualquier rea de un Centro de Procesos de Datos.
El mtodo CRMR puede aplicarse cuando se producen algunas de las

situaciones que se citan:
Se detecta una mala respuesta a las peticiones y necesidades de los

usuarios.
Los resultados del Centro de Procesos de Datos no estn a disposicin
de los usuarios en el momento oportuno.
Se genera con alguna frecuencia informacin errnea por fallos de datos
o proceso.
Existen sobrecargas frecuentes de capacidad de proceso.
Existen costes excesivos de proceso en el Centro de Proceso de Datos.
Efectivamente, son stas y no otras las situaciones que el auditor informtico

encuentra con mayor frecuencia. Aunque pueden existir factores tcnicos que
causen las debilidades descritas, hay que convenir en la mayor incidencia de
fallos de gestin.

reas de aplicacin
Las reas en que el mtodo CRMR puede ser aplicado se corresponden con
las sujetas a las condiciones de aplicacin sealadas en el punto anterior:
Gestin de Datos.
Control de Operaciones.
Control y utilizacin de recursos materiales y humanos.
Interfaces y relaciones con usuarios.
Planificacin.
Organizacin y administracin.
Ciertamente, el CRMR no es adecuado para evaluar la procedencia de

adquisicin de nuevos equipos (Capacity Planning) o para revisar muy a fondo
los caminos crticos o las holguras de un proyecto complejo.
Objetivos:
CRMR tiene como objetivo fundamental evaluar el grado de bondad o

ineficiencia de los procedimientos y mtodos de gestin que se observan en un
Centro de Proceso de Datos. Las Recomendaciones que se emitan como
resultado de la aplicacin del CRMR, tendrn como finalidad algunas de las
que se relacionan:
Identificar y fijar responsabilidades.

Mejorar la flexibilidad de realizacin de actividades.
Aumentar la productividad.
Disminuir costes
Mejorar los mtodos y procedimientos de Direccin.

Alcance:
Se fijarn los lmites que abarcar el CRMR, antes de comenzar el trabajo.
Se establecen tres clases:
1. Reducido. El resultado consiste en sealar las reas de actuacin con

potencialidad inmediata de obtencin de beneficios.
2. Medio. En este caso, el CRMR ya establece conclusiones y
recomendaciones, tal y como se hace en la auditora informtica
ordinaria.
3. Amplio. El CRMR incluye Planes de Accin, aportando tcnicas de
implementacin de las recomendaciones, a la par que desarrolla las
conclusiones.
Informacin necesaria para la evaluacin del CRMR:
Se determinan en este punto los requisitos necesarios para que esta simbiosis
de auditora y consultora pueda llevarse a cabo con xito.
1. El trabajo de campo del CRMR ha de realizarse completamente

integrado en la estructura del Centro de Proceso de Datos del cliente, y
con los recursos de ste.
2. Se deber cumplir un detallado programa de trabajo por tareas.
3. El auditor-consultor recabar determinada informacin necesaria del
cliente.
Se tratan a continuacin los tres requisitos expuestos:
1. Integracin del auditor en el Centro de Procesos de Datos a revisar
No debe olvidarse que se estn evaluando actividades desde el punto

de vista gerencial. El contacto permanente del auditor con el trabajo
ordinario del Centro de Proceso de Datos permite a aqul determinar el
tipo de esquema organizativo que se sigue.

2. Programa de trabajo clasificado por tareas
Todo trabajo habr de ser descompuesto en tareas. Cada una de ellas se

someter a la siguiente sistemtica:
Identificacin de la tarea.
Descripcin de la tarea.
Descripcin de la funcin de direccin cuando la tarea se realiza
incorrectamente.
Descripcin de ventajas, sugerencias y beneficios que puede originar un
cambio o modificacin de tarea
Test para la evaluacin de la prctica directiva en relacin con la tarea.
Posibilidades de agrupacin de tareas.
Ajustes en funcin de las peculiaridades de un departamento concreto.
Registro de resultados, conclusiones y Recomendaciones.
3. Informacin necesaria para la realizacin del CRMR
El cliente es el que facilita la informacin que el auditor contrastar con su

trabajo de campo.
Se muestra a continuacin una Checklist o lista de comprobaciones completa

de los datos necesarios para confeccionar el CRMR:
Datos de mantenimiento preventivo de Hardware.

Informes de anomalas de los Sistemas.
Procedimientos estndar de actualizacin.
Procedimientos de emergencia.
Monitorizacin de los Sistemas.
Informes del rendimiento de los Sistemas.
Mantenimiento de las Libreras de Programas.
Gestin de Espacio en disco.
Documentacin de entrega de Aplicaciones a Explotacin.
Documentacin de alta de cadenas en Explotacin.

Utilizacin de CPU, canales y discos.

Datos de paginacin de los Sistemas.
Volumen total y libre de almacenamiento.
Ocupacin media de disco.
Manuales de Procedimientos de Explotacin.
Esta informacin cubre ampliamente el espectro del CRMR y permite ejercer el

seguimiento de las recomendaciones realizadas.
Caso Prctico de una Auditora de Seguridad Informtica <<Ciclo de

Seguridad>>
A continuacin, un caso de auditora de rea general para proporcionar una

visin ms desarrollada y amplia de la funcin auditora.
Es una auditora de Seguridad Informtica que tiene como misin revisar tanto
la seguridad fsica del Centro de Proceso de Datos en su sentido ms amplio,
como la seguridad lgica de datos, procesos y funciones informticas ms
importantes de aqul.
Ciclo de Seguridad
El objetivo de esta auditora de seguridad es revisar la situacin y las cuotas de

eficiencia de la misma en los rganos ms importantes de la estructura
informtica.
Para ello, se fijan los supuestos de partida:
El rea auditada es la seguridad. El rea a auditar se divide en: Segmentos.
Los segmentos se dividen en: Secciones.
Las secciones se dividen en: Subsecciones.
De este modo la auditora se realizar en tres niveles.

Los segmentos a auditar, son:
Segmento 1: Seguridad de cumplimiento de normas y estndares.

Segmento 2: Seguridad de Sistema Operativo.
Segmento 3: Seguridad de Software.
Segmento 4: Seguridad de Comunicaciones.
Segmento 5: Seguridad de Base de Datos.
Segmento 6: Seguridad de Proceso.
Segmento 7: Seguridad de Aplicaciones.
Segmento 8: Seguridad Fsica.
Se darn los resultados globales de todos los segmentos y se realizar un

tratamiento exhaustivo del Segmento 8, a nivel de seccin y subseccin.
Conceptualmente la auditora informtica en general y la de seguridad en

particular, ha de desarrollarse en seis fases bien diferenciadas:
Fase 0. Causas de la realizacin del ciclo de seguridad.
Fase 1. Estrategia y logstica del ciclo de seguridad.
Fase 2. Ponderacin de sectores del ciclo de seguridad.
Fase 3. Operativa del ciclo de seguridad.
Fase 4. Clculos y resultados del ciclo de seguridad.
Fase 5. Confeccin del informe del ciclo de seguridad.
A su vez, las actividades auditoras se realizan en el orden siguiente:
1. Comienzo del proyecto de Auditora Informtica.

2. Asignacin del equipo auditor.
3. Asignacin del equipo interlocutor del cliente.

4. Cumplimentacin de formularios globales y parciales por parte del

cliente.
5. Asignacin de pesos tcnicos por parte del equipo auditor.
6. Asignacin de pesos polticos por parte del cliente.
7. Asignacin de pesos finales a segmentos y secciones.
8. Preparacin y confirmacin de entrevistas.
9. Entrevistas, confrontaciones y anlisis y repaso de documentacin.
10. Clculo y ponderacin de subsecciones, secciones y segmentos.
11. Identificacin de reas mejorables.
12. Eleccin de las reas de actuacin prioritaria.
13. Preparacin de recomendaciones y borrador de informe
14. Discusin de borrador con cliente.
15. Entrega del informe.
Causas de realizacin de una Auditora de Seguridad
Esta constituye la FASE 0 de la auditora y el orden 0 de actividades de la

misma.
El equipo auditor debe conocer las razones por las cuales el cliente desea
realizar el Ciclo de Seguridad. Puede haber muchas causas: Reglas internas
del cliente, incrementos no previstos de costes, obligaciones legales, situacin
de ineficiencia global notoria, etc.
De esta manera el auditor conocer el entorno inicial. As, el equipo auditor

elaborar el Plan de Trabajo.
Estrategia y logstica del ciclo de Seguridad
Constituye la FASE 1 del ciclo de seguridad y se desarrolla en las actividades

1, 2 y 3:

FASE 1. Estrategia y logstica del ciclo de seguridad
1. Designacin del equipo auditor.

2. Asignacin de interlocutores, validadores y decisores del cliente.
3. El cliente debe rellenar un cuestionario inicial, para la realizacin del
estudio inicial.
Con las razones por las cuales va a ser realizada la auditora (Fase 0), el
equipo auditor disea el proyecto de Ciclo de Seguridad en base a una
estrategia definida en funcin del volumen y complejidad del trabajo a realizar,
que constituye la Fase 1 del punto anterior.
Para desarrollar la estrategia, el equipo auditor necesita recursos materiales y

humanos. La adecuacin de stos se realiza mediante un desarrollo logstico,
en el que los mismos deben ser determinados con exactitud. La cantidad,
calidad, coordinacin y distribucin de los mencionados recursos, determina a
su vez la eficiencia y la economa del Proyecto.
Los planes del equipo auditor se desarrollan de la siguiente manera:
1. Eligiendo el responsable de la auditora su propio equipo de trabajo.

Este ha de ser heterogneo en cuanto a especialidad, pero compacto.
2. Recabando de la empresa auditada los nombres de las personas de la
misma que han de relacionarse con los auditores, para las peticiones de
informacin, coordinacin de entrevistas, etc.
3. Mediante un estudio inicial, del cual forma parte el anlisis de un
formulario exhaustivo, tambin inicial, que los auditores entregan al
cliente para su cumplimentacin.
Segn los planes marcados, el equipo auditor, cumplidos los requisitos

1, 2 y 3, estar en disposicin de comenzar la "tarea de campo", la
operativa auditora del Ciclo de Seguridad.

Ponderacin de los Sectores Auditados
Este constituye la Fase 2 del Proyecto y engloba las siguientes

actividades:
FASE 2. Ponderacin de sectores del ciclo de seguridad.
4. Asignacin de pesos tcnicos. Se entienden por tales las ponderaciones

que el equipo auditor hace de los segmentos y secciones, en funcin de
su importancia.
5. Asignacin de pesos polticos. Son las mismas ponderaciones
anteriores, pero evaluadas por el cliente.
6. Asignacin de pesos finales a los Segmentos y Secciones. El peso final
es el promedio del peso tcnico y del peso poltico. La Subsecciones se
calculan pero no se ponderan.
Se pondera la importancia relativa de la seguridad en los diversos

sectores de la organizacin informtica auditada.
Las asignaciones de pesos a Secciones y Segmentos del rea de

seguridad que se audita, se realizan del siguiente modo:
Pesos tcnicos
Son los coeficientes que el equipo auditor asigna a los Segmentos y a

las Secciones.

Pesos polticos
Son los coeficientes o pesos que el cliente concede a cada Segmento y

a cada Seccin del Ciclo de Seguridad.
Ciclo de Seguridad. Suma Pesos Segmentos = 100
(con independencia del nmero de segmentos consideradas)

Segmentos Pesos Tcnicos Pesos Polticos Pesos Finales
Seg1. Normas y 12 8 10
Estndares
Seg2. Sistema 10 10 10
Operativo
Seg3. Software Bsico 10 14 12
Seg4. 12 12 12
Comunicaciones
Seg5. Bases de Datos 12 12 12
Seg6. Procesos 16 12 14
Seg7. Aplicaciones 16 16 16
Seg8. Seguridad 12 16 14
Fsica
TOTAL 100 100 100
Pesos finales
Son el promedio de los pesos anteriores.
El total de los pesos de los 8 segmentos es 100. Este total de 100

puntos es el que se ha asignado a la totalidad del rea de Seguridad,
como podra haberse elegido otro cualquiera. El total de puntos se
mantiene cualquiera que hubiera sido el nmero de segmentos. Si
hubieran existido cinco segmentos, en lugar de 8, la suma de los cinco
habra de seguir siendo de 100 puntos.

Suma Peso Secciones = 20
(con independencia del nmero de Secciones consideradas)

Secciones Pesos Tcnicos Pesos Polticos Pesos Finales
Secc1. Seg. Fsica de 6 6 6
Datos
Secc2. Control de 5 3 4
Accesos
Secc3. Equipos 6 4 5
Secc4. Documentos 2 4 3
Secc5. Suministros 1 3 2
TOTAL 20 20 20
Puede observarse la diferente apreciacin de pesos por parte del cliente

y del equipo auditor. Mientras stos estiman que las Normas y
Estndares y los Procesos son muy importantes, el cliente no los
considera tanto, a la vez que prima, tal vez excesivamente, el Software
Bsico.
Del mismo modo, se concede a todos los segmentos el mismo valor total
que se desee, por ejemplo 20, con absoluta independencia del nmero
de Secciones que tenga cada Segmento. En este caso, se han definido
y pesado cinco Secciones del Segmento de Seguridad Fsica. Cabe
aclarar, solo se desarroll un solo Segmento a modo de ejemplo.
Operativa del ciclo de Seguridad
Una vez asignados los pesos finales a todos los Segmentos y

Secciones, se comienza la Fase 3, que implica las siguientes
actividades:

FASE 3. Operativa del ciclo de seguridad
7. Preparacin y confirmacin de entrevistas.

8. Entrevistas, pruebas, anlisis de la informacin, cruzamiento y repaso de
la misma.
Las entrevistas deben realizarse con exactitud. El responsable del equipo

auditor designar a un encargado, dependiendo del rea de la entrevista. Este,
por supuesto, deber conocer a fondo la misma.
La realizacin de entrevistas adecuadas constituye uno de los factores

fundamentales del xito de la auditora. La adecuacin comienza con la
completa cooperacin del entrevistado. Si sta no se produce, el responsable
lo har saber al cliente.
Deben realizarse varias entrevistas del mismo tema, al menos a dos o tres
niveles jerrquicos distintos. El mismo auditor puede, y en ocasiones es
conveniente, entrevistar a la misma persona sobre distintos temas. Las
entrevistas deben realizarse de acuerdo con el plan establecido, aunque se
pueden llegar a agregar algunas adicionales y sin planificacin.
La entrevista concreta suele abarcar Subsecciones de una misma Seccin tal

vez una seccin completa. Comenzada la entrevista, el auditor o auditores
formularn preguntas al/los entrevistado/s. Debe identificarse quien ha dicho
qu, si son ms de una las personas entrevistadas.

Las listas de comprobacin o Checklists son tiles y en muchos casos

imprescindibles. Terminadas las entrevistas, el auditor califica las respuestas
del auditado (no debe estar presente) y procede a la valoracin de la
informacin correspondiente.
Simultneamente a las entrevistas, el equipo auditor realiza pruebas planeadas

y pruebas sorpresa para verificar y cruzar los datos solicitados y facilitados por
el cliente. Estas pruebas se realizan ejecutando trabajos propios o repitiendo
los de aqul, que indefectiblemente debern ser similares si se han reproducido
las condiciones de carga de los Sistemas auditados. Si las pruebas realizadas
por el equipo auditor no fueran consistentes con la informacin facilitada por el
auditado, se deber recabar nueva informacin y reverificar los resultados de
las pruebas auditoras.
La evaluacin de las listas de comprobacin o Checklists, las pruebas

realizadas, la informacin facilitada por el cliente y el anlisis de todos los datos
disponibles, configuran todos los elementos necesarios para calcular y
establecer los resultados de la auditora, que se materializarn en el informe
final.
A continuacin, un ejemplo de auditora de la Seccin de Control de Accesos

del Segmento de Seguridad Fsica:
Vamos a dividir a la Seccin de Control de Accesos en cuatro Subsecciones:
1. Autorizaciones
2. Controles Automticos
3. Vigilancia
4. Registros
En las siguientes listas de comprobacin o Checklists, las respuestas se

calificarn de 1 a 5, siendo 1 la peor valoracin y 5 la mxima puntuacin.

Control de Accesos: Autorizaciones

Preguntas Respuestas Puntos
Existe un nico responsable de Si, el Jefe de Explotacin, pero el 4
implementar la poltica de Director puede acceder a la Sala con
autorizaciones de entrada en el Centro acompaantes sin previo aviso.
de Clculo?
Existe alguna autorizacin permanente Una sola. El tcnico permanente de 5
de estancia de personal ajeno a la la firma suministradora.
empresa?
Quines saben cuales son las personas El personal de vigilancia y el Jefe de 5
autorizadas? Explotacin.
Adems de la tarjeta magntica de No, solamente la primera. 4
identificacin, hay que pasar otra
especial?
Se pregunta a las visitas si piensan No, vale la primera autorizacin. 3
visitar el Centro de Clculo?
Se proveen las visitas al Centro de No, basta que vayan acompaados 3
Clculo con 24 horas al menos? por el Jefe de Explotacin o Director
TOTAL AUTORIZACIONES 24/30
80%

Control de Accesos: Controles Automticos

Cree Ud. que los Controles Automticos Si, aunque ha de reconocerse que a 3
son adecuados? pie puede llegarse por la noche
hasta el edificio principal.
Quedan registradas todas las entradas y No, solamente las del personal 3
salidas del Centro de Clculo? ajeno a Operacin.
Al final de cada turno, Se controla el S, y los vigilantes los reverifican. 5
nmero de entradas y salidas del personal
de Operacin?
Puede salirse del Centro de Clculo sin Si, porque existe otra puerta de 3
tarjeta magntica? emergencia que puede abrirse
desde adentro
TOTAL CONTROLES AUTOMATICOS 14/20
70%
Control de Accesos: Vigilancia

Hay vigilantes las 24 horas? S. 5
Existen circuitos cerrados de TV S. 5
exteriores?
Identificadas las visitas, Se les No. 2
acompaa hasta la persona que desean
ver?
Conocen los vigilantes los terminales No, sera muy complicado. 2
que deben quedar encendidos por la
noche?
TOTAL VIGILANCIA 14/20
70%

Control de Accesos: Registros

Existe una poltica adecuada de No, reconocemos que casi nunca, pero 1
registros? hasta ahora no ha habido necesidad.
Se ha registrado alguna vez a una Nunca. 1
persona?
Se abren todos los paquetes dirigidos Casi nunca. 1
a personas concretas y no a
Informtica?
Hay un cuarto para abrir los Si, pero no se usa siempre. 3
paquetes?
TOTAL REGISTROS 6/20
30%
Clculos y Resultados del Ciclo de Seguridad
FASE 4. Clculos y resultados del ciclo de seguridad
1. Clculo y ponderacin de Secciones y Segmentos. Las Subsecciones no

se ponderan, solo se calculan.
2. Identificacin de materias mejorables.
3. Priorizacin de mejoras.
En el punto anterior se han realizado las entrevistas y se han puntuado las

respuestas de toda la auditora de Seguridad.
El trabajo de levantamiento de informacin est concluido y contrastado con las

pruebas. A partir de ese momento, el equipo auditor tiene en su poder todos los
datos necesarios para elaborar el informe final. Solo faltara calcular el
porcentaje de importancia de cada rea; ste se obtiene calculando el
sumatorio de las respuestas obtenidas, recordando que deben afectarse a sus
pesos correspondientes.

Una vez realizado los clculos, se ordenarn y clasificarn los resultados

obtenidos por materias mejorables, estableciendo prioridades de actuacin
para lograrlas.
Clculo del ejemplo de las Subsecciones de la Seccin de Control de Accesos:
Autorizaciones 80%
Controles Automticos 70%
Vigilancia 70%
Registros 30%
Promedio de Control de Accesos 62,5%
Cabe recordar, que dentro del Segmento de Seguridad Fsica, la Seccin de

Control de Accesos tiene un peso final de 4.
Prosiguiendo con el ejemplo, se procedi a la evaluacin de las otras cuatro

Secciones, obtenindose los siguientes resultados:
Ciclo de Seguridad: Segmento 8, Seguridad Fsica.

Secciones Peso Puntos
Seccin 1. Datos 6 57,5%
Seccin 2. Control de Accesos 4 62,5%
Seccin 3. Equipos (Centro de Clculo) 5 70%
Seccin 4. Documentos 3 52,5%
Seccin 5. Suministros 2 47,2%
Conocidos los promedios y los pesos de las cinco Secciones, se procede a

calcular y ponderar el Segmento 8 de Seguridad Fsica:

Seg. 8 = PromedioSeccin1 * peso + PromedioSecc2 * peso + PromSecc3 *

peso + PromSecc4 * peso + PromSecc5 * peso / (peso1 + peso2 + peso3 +
peso4 + peso5)
Seg. 8 = (57,5 * 6) + (62,5 * 4) + (70 * 5) + (52,5 * 3) + (47,2 * 2) / 20
Seg. 8 = 59,85%
A continuacin, la evaluacin final de los dems Segmentos del ciclo de

Seguridad:
Ciclo de Seguridad. Evaluacin y pesos de Segmentos

Segmentos Pesos Evaluacin
Seg1. Normas y Estndares 10 61%
Seg2. Sistema Operativo 10 90%
Seg3. Software Bsico 12 72%
Seg4. Comunicaciones 12 55%
Seg5. Bases de Datos 12 77,5%
Seg6. Procesos 14 51,2%
Seg7. Aplicaciones 16 50,5%
Seg8. Seguridad Fsica 14 59,8%
Promedio Total rea de Seguridad 100 63,3%

Sistemtica seguida para el clculo y evaluacin del Ciclo de Seguridad:
a. Valoracin de las respuestas a las preguntas especficas realizadas en

las entrevistas y a los cuestionarios formulados por escrito.
b. Clculo matemtico de todas las subsecciones de cada seccin, como
media aritmtica (promedio final) de las preguntas especficas.
Recurdese que las subsecciones no se ponderan.
c. Clculo matemtico de la Seccin, como media aritmtica (promedio
final) de sus Subsecciones. La Seccin calculada tiene su peso
correspondiente.
d. Clculo matemtico del Segmento. Cada una de las Secciones que lo
componen se afecta por su peso correspondiente. El resultado es el
valor del Segmento, el cual, a su vez, tiene asignado su peso.
e. Clculo matemtico de la auditora. Se multiplica cada valor de los
Segmentos por sus pesos correspondientes, la suma total obtenida se
divide por el valor fijo asignado a priori a la suma de los pesos de los
segmentos.
Confeccin del Informe del Ciclo de Seguridad
FASE 5. Confeccin del informe del ciclo de seguridad
1. Preparacin de borrador de informe y Recomendaciones.

2. Discusin del borrador con el cliente.
3. Entrega del Informe y Carta de Introduccin.
Ha de resaltarse la importancia de la discusin de los borradores parciales con

el cliente. La referencia al cliente debe entenderse como a los responsables
directos de los segmentos. Es de destacar que si hubiese acuerdo, es posible
que el auditado redacte un contrainforme del punto cuestionado. Esta acta se
incorporar al Informe Final.

Las Recomendaciones del Informe son de tres tipos:
1. Recomendaciones correspondientes a la zona roja. Sern muy

detalladas e irn en primer lugar, con la mxima prioridad. La redaccin
de las recomendaciones se har de modo que sea simple verificar el
cumplimiento de la misma por parte del cliente.
2. Recomendaciones correspondientes a la zona amarilla. Son las que
deben observarse a medio plazo, e igualmente irn priorizadas.
3. Recomendaciones correspondientes a la zona verde. Suelen referirse a
medidas de mantenimiento. Pueden ser omitidas. Puede detallarse
alguna de este tipo cuando una accin sencilla y econmica pueda
originar beneficios importantes.

Perfiles Profesionales de los auditores informticos
Profesin Actividades y conocimientos deseables
Informtico Generalista Con experiencia amplia en ramas distintas.

Deseable que su labor se haya desarrollado
en explotacin y en desarrollo de
proyectos. Conocedor de Sistemas.
Experto en Desarrollo de Proyectos Amplia experiencia como responsable de
proyectos. Experto analista. Conocedor de
las metodologas de desarrollo ms
importantes.
Tcnico de Sistemas Experto en Sistemas Operativos y Software
Bsico. Conocedor de los productos
equivalentes en el mercado. Amplios
conocimientos de explotacin.
Experto en Bases de Datos y Con experiencia en el mantenimiento de Bases de
Administracin de las Datos. Conocimiento de productos
mismas. compatibles y equivalentes. Buenos
conocimientos de explotacin
Experto en Software de Alta especializacin dentro de la tcnica de
Comunicacin sistemas. Conocimientos profundos de
redes. Muy experto en Subsistemas
telemticos.
Experto en Explotacin y Gestin Responsable de algn Centro de Clculo. Amplia
de CPDS experiencia en Automatizacin de trabajos.
Experto en relaciones humanas. Buenos
conocimientos de los sistemas.
Tcnico de Organizacin Experto organizador y coordinador. Especialista
en el anlisis de flujos de informacin.
Tcnico de evaluacin de Costes Economista con conocimiento de Informtica y

con experiencia en la Gestin de costes.

9. Resultados y Productos de una auditora informtica externa.
Una Auditora Externa examina y evala los sistemas de informacin de una

organizacin y emite una opinin independiente sobre los mismos, pero las
empresas generalmente requieren de la evaluacin de su Sistema de
Informacin de forma independiente para otorgarle validez ante los usuarios del
producto (clientes), es decir, disponer de un departamento de calidad que
realice auditoras internas nos proporciona unas bases, nos hace mantenernos
alerta para mantener el nivel de eficiencia, calidad y exigencia a la propia
empresa, pero de cara al exterior disponer de una certificacin, o una auditora
externa positiva es mejor valorado.
Una Auditora Externa se lleva a cabo cuando se tiene la intencin de publicar

el producto del Sistema de Informacin examinado con el fin de acompaar al
mismo una opinin independiente que le d autenticidad y permita a los
usuarios de dicha informacin tomar decisiones confiando en las declaraciones
del Auditor.
La Auditora Externa o Independiente tiene por objeto averiguar lo razonable,

ntegro y autntico de los estados, expedientes y documentos as como toda
aquella informacin producida por los sistemas de la organizacin.
Una auditora debe hacerla una persona o firma independiente de capacidad

profesional reconocida. Esta persona o firma debe ser capaz de ofrecer una
opinin imparcial y profesionalmente experta acerca de los resultados de
auditora, basndose en el hecho de que su opinin ha de acompaar el
informe presentado al trmino del examen y concediendo que pueda
expresarse una opinin basada en la veracidad de los documentos y de los
estados financieros y en que no se imponga restricciones al auditor en su
trabajo de investigacin.

Finalmente el resultado nos otorgar los siguientes productos:
Obtencin de elementos de juicio fundamentados en la naturaleza de los

hechos examinados
Medicin de la magnitud de un error ya conocido, deteccin de errores
supuestos o confirmacin de la ausencia de errores
Propuesta de sugerencias, en tono constructivo, para ayudar a la
gerencia
Deteccin de los hechos importantes ocurridos tras el cierre del ejercicio
Control de las actividades de investigacin y desarrollo
Sugerencias de elaboracin de cdigos tipos
Segn la LOPD establezcan las condiciones de organizacin, rgimen de

funcionamiento, procedimientos aplicables, normas de seguridad del entorno,
programas o equipos, obligaciones de los implicados en el tratamiento y uso de
la informacin personal, as como las garantas en su mbito, para el ejercicio
de los derechos de las personas con pleno respeto de los principios y
disposiciones de la presente Ley y sus normas de desarrollo.
Se establece, adems, la posibilidad de que contengan o no reglas

operacionales detalladas de cada sistema particular y estndares tcnicos de
aplicacin, de manera que, en el supuesto de que tales reglas no se incorporen
directamente a cdigos tipo, las instrucciones u rdenes que los establezcan
debern atenerse a los principios en ellos previstos.
El objetivo de los cdigos tipo es adecuar lo establecido en la normativa

vigente en este mbito a las peculiaridades de los tratamientos efectuados por
quienes se adhieren a los mismos. A tal efecto, contendrn reglas o estndares
especficos que permitan armonizar los tratamientos de datos efectuados por
los adheridos, facilitar el ejercicio de los derechos de los afectados y favorecer
el cumplimiento de lo dispuesto la LOPD y el RLOPD.
Su implementacin y la adscripcin a los mismos por parte de los profesionales

son voluntarias. A pesar de constituir un instrumento de gran ayuda para
cumplir la normativa vigente en materia de proteccin de datos, no son normas
jurdicas vinculantes.

Por su parte, el RLOPD nos recuerda este carcter de cdigos deontolgicos* o

de buena prctica profesional y que, nicamente, sern vinculantes para
quienes se adhieran a los mismos.
Debemos detenernos en este punto aclarando que los responsables de

ficheros no estn obligados a participar en la elaboracin de este tipo de
cdigos y, una vez elaborados e inscritos, estn, del mismo modo, facultados
para elegir libremente sobre su adhesin o suscripcin, adems de no implicar
dicha adhesin el cumplimiento de la LOPD y su normativa de desarrollo.
No obstante, si un responsable se adhiere a un cdigo tipo concreto, a partir de

ese momento, queda obligado al cumplimiento de las disposiciones incluidas
en el mismo y su incumplimiento podra ser sancionado por la entidad creada a
estos efectos. Consecuencia de ello, el responsable suscriptor o adherido
estar sometido a un control peridico por parte del citado rgano, que deber
verificar que cada una de las obligaciones aceptadas voluntariamente
continan siendo objeto de cumplimiento, resultando frecuente la creacin de
comits de control orientados a velar por el buen funcionamiento y aplicabilidad
del cdigo tipo.
El RLOPD no introduce ninguna novedad en este sentido, reconociendo

igualmente la posibilidad de creacin de cdigos tipo por iniciativa de
empresas, grupos de entidades pertenecientes a un mismo sector y
Administraciones pblicas y corporaciones de derecho pblico.
*
El cdigo deontolgico es un documento que recoge un conjunto ms o menos amplio de criterios,
normas y valores que formulan y asumen quienes llevan a cabo una actividad profesional. Los cdigos
deontolgicos se ocupan de los aspectos ms sustanciales y fundamentales del ejercicio de la profesin
que regulan. Estos cdigos cada vez son ms frecuentes en otras muchas actividades. Sin embargo, no
siempre se cumplen, y aunque s se respeten, quedan notables lagunas en cuanto a quin est encargado
de hacerlos cumplir, as como las sanciones para quienes los vulneren.

A. Legislacin Vigente
1.1. Ley Orgnica 15/1999, de 13 de diciembre, de Proteccin de Datos de

Carcter Personal (LOPD)
Es la Ley vigente en la actualidad y que adapta la legislacin espaola a la

Directiva europea. Su mbito de aplicacin comprende todos los ficheros que
contengan datos de carcter personal, con independencia de que se trate de
ficheros automatizados o en formato papel. Incluye como otras novedades
principales la definicin del Encargado del Tratamiento, la regulacin de los
tratamientos de datos y las relaciones entre Responsable del Fichero y
Encargado del Tratamiento, la definicin de fuentes accesibles al pblico, el
censo promocional e incorpora el nuevo derecho de oposicin.
1.2. Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el

Reglamento de Desarrollo de la Ley Orgnica 15/1999, de 13 de diciembre,
de Proteccin de Datos de carcter Personal (RLOPD)
El RLOPD (que entr en vigor el da 19 de abril de 2008) desarrolla la LOPD y

consolida la doctrina reguladora establecida por la AEPD en sus instrucciones y
expedientes sancionadores, as como la interpretacin que de la LOPD han
efectuado los Tribunales a travs de la jurisprudencia.
El RLOPD incrementa la proteccin ofrecida a los datos de carcter personal,

pero, por otra parte, establece ciertas especialidades para facilitar la
implantacin de medidas de seguridad, que inciden sobre todo en el mbito de
las PYMES. Este nuevo Reglamento, que sustituye al RMS 994/1999(RLOPD
TITULO VIII 1720/2007 actualmente), establece, entre otras cosas, las medidas
de seguridad para los ficheros no automatizados, regula las relaciones entre el
Responsable del Fichero y el Encargado del Tratamiento (permitiendo adems
la subcontratacin), introduce novedades importantes con respecto a los
ficheros sobre solvencia patrimonial y crdito y respecto al ejercicio de
derechos, as como otras novedades que se desarrollan en detalle en este libro
ms adelante.

Las infracciones, sanciones o cuanta de las multas no se han modificado, pero

s se ha introducido, con respecto a las actuaciones previas al Procedimiento
Sancionador de la AEPD, un lmite temporal de doce meses a contar desde la
fecha de la denuncia.
El vencimiento del plazo sin que se haya dictado y notificado el acuerdo de

inicio de procedimiento sancionador producir la caducidad de las actuaciones
previas.
2.1. Plazos de adaptacin
La Disposicin transitoria segunda del RLOPD recoge los plazos de

implantacin de las medidas de seguridad con arreglo a las siguientes reglas:
2.1.1. Respecto de los ficheros automatizados que existieran en la fecha

de entrada en vigor del RLOPD (19 abril 2008):
a) Se permite el plazo de un ao desde su entrada en vigor (19 de abril de

2009, por lo que deberan ya estar implantadas) para la implantacin de
medidas de seguridad de nivel medio, exigibles a los siguientes ficheros:
Aqullos de los que sean responsables las Entidades Gestoras y

Servicios Comunes de la Seguridad Social y se relacionen con el
ejercicio de sus competencias.
Aqullos de los que sean responsables las mutuas de accidentes de
trabajo y enfermedades profesionales de la Seguridad Social.
Aqullos que contengan un conjunto de datos de carcter personal que
ofrezcan una definicin de las caractersticas o de la personalidad de los
ciudadanos y que permitan evaluar determinados aspectos de la
personalidad o del comportamiento de los mismos.

b) Una vez finalizado el plazo de un ao (19 de abril de 2009) debern haberse

implantado las medidas de seguridad de nivel medio a aqullos ficheros de los
que sean responsables los operadores que presten servicios de
comunicaciones electrnicas disponibles al pblico o exploten redes pblicas
de comunicaciones electrnicas respecto a los datos de trfico y a los datos de
localizacin.
c) En el plazo de dieciocho meses (19 de octubre de 2009) las de nivel alto

exigibles a los ficheros que contengan datos derivados de actos de violencia de
gnero.
d) En los dems supuestos, cuando el RLOPD exija la implantacin de una

medida adicional no prevista en el RMS. Dicha medida deber implantarse en
el plazo de un ao (19 de abril de 2009).
2.1.2. Respecto de los ficheros no automatizados que existieran en la

fecha de entrada en vigor del RLOPD:
a) Las medidas de seguridad de nivel bsico debern estar implantadas desde

el plazo de un ao desde su entrada en vigor (19 de abril de 2009).
b) Las medidas de seguridad de nivel medio debern implantarse en el plazo

de dieciocho meses desde su entrada en vigor (19 de octubre de 2009).
c) Las medidas de seguridad de nivel alto debern implantarse en el plazo de

dos aos desde su entrada en vigor (19 de abril de 2010).
2.2.1.3. Respecto de los ficheros creados con posterioridad a la fecha de

entrada en vigor del RLOPD:
Los ficheros, tanto automatizados como no automatizados, creados con

posterioridad a la fecha de entrada en vigor del RLOPD debern tener
implantadas, desde el momento de su creacin, la totalidad de las medidas
de seguridad reguladas en el mismo.

B. La autorregulacin: Los cdigos tipo
La aplicacin de las obligaciones impuestas por la normativa vigente en materia

de proteccin de datos de carcter personal no es algo sencillo. Las empresas,
independientemente de la actividad que desarrollan, y, dentro de stas, tanto
los responsables de los ficheros que contienen datos personales como sus
usuarios, se enfrentan, continuamente, a realidades complejas e importantes
problemas a la hora de aplicar dicha normativa, suponiendo un gran esfuerzo
hallar soluciones prcticas que permitan el desarrollo eficaz de su actividad.
La autorregulacin es una va que puede resultar de gran ayuda para los

responsables de los ficheros o tratamientos de datos de carcter personal
inmersos en este confuso panorama, tratando de adaptar la aplicacin de la
normativa de proteccin de datos a las peculiaridades propias de cada sector
de actividad a travs de los denominados cdigos tipo. La elaboracin de estos
cdigos, as como la adhesin a los mismos por parte de los responsables de
tratamientos, debe ser cada da ms frecuente en todos los sectores. Pese a
ello, en la actualidad, existe un desconocimiento generalizado en relacin con
estos cdigos y, ms en concreto, su existencia, qu son realmente y su
naturaleza.
Con carcter genrico y, en una primera aproximacin, podramos definir los

cdigos tipo como conjunto de normas de buena conducta, adoptados por
entidades, generalmente pertenecientes al mismo sector, como modelos a
seguir para el desarrollo de sus actividades profesionales; asimilables a los
cdigos deontolgicos o de buena prctica profesional. stos constituyen una
forma de complementar la regulacin o, en algunos casos, suplir las lagunas o
carencias de aquella, estableciendo, normalmente, medidas que no slo
respetan las previsiones legales sino que suponen garantas adicionales,
reforzando el espritu y finalidad de la Ley.

Las actividades objeto de regulacin por los cdigos pueden ser de muy
diversa naturaleza, dado que el fin perseguido en su elaboracin se centra en
predefinir pautas o estndares de actuacin generales a tener en cuenta por
los sujetos pertenecientes a un determinado sector.
Al margen de los cdigos tipo reguladores de otras materias concretas, se

analizarn en este caso, aquellos que pretenden regular de forma unitaria, los
tratamientos de datos de carcter personal realizados por personas fsicas o
jurdicas englobadas en el mismo sector de actividad.
En este mbito, la Directiva 95/46/CE, utilizando la denominacin de cdigos

de conducta, establece la posibilidad de adoptar este tipo de cdigos,
requiriendo a la Comisin Europea y a los Estados miembros para fomentar su
desarrollo:
los Estados miembros y la Comisin alentarn la elaboracin de cdigos de

conducta destinados a contribuir, en funcin de las particularidades de cada
sector, la correcta aplicacin de las disposiciones nacionales adoptadas por los
Estados miembros en aplicacin de la presenta Directiva.
El Grupo de Trabajo Sobre la Proteccin de las Personas Fsicas, en un

Documento de Trabajo adoptado el 14 de enero de 1998, estableci una
definicin para este tipo de cdigos, denominndolos, en ese caso, cdigos de
autorregulacin y expresndose en los siguientes trminos:
cualquier conjunto de normas de proteccin de datos que se apliquen a una

pluralidad de responsables del tratamiento que pertenezcan a la misma
profesin o al mismo sector industrial, cuyo contenido haya sido determinado
fundamentalmente por miembros del sector industrial o profesin en cuestin.
Documento de Trabajo: Evaluacin de la autorregulacin industrial: En qu casos realiza una

contribucin significativa al nivel de proteccin de datos en un pas tercero ?, http://
europa.eu.int/comm/justice_home/fsj/privacy/docs/wpdocs/1998/wp7_es.pdf.

La LOPD, que contempla tambin la posibilidad de elaborar cdigos tipo cuyo

mbito de aplicacin se circunscriba a una sola empresa, se refiere a los
cdigos tipo en su artculo 32, indicando que son aquellos en los que se
establezcan las condiciones de organizacin, rgimen de funcionamiento,
procedimientos aplicables, normas de seguridad del entorno, programas o
equipos, obligaciones de los implicados en el tratamiento y uso de la
informacin personal, as como las garantas en su mbito, para el ejercicio de
los derechos de las personas con pleno respeto de los principios y
disposiciones de la presente Ley y sus normas de desarrollo.
Establece, adems, la posibilidad de que contengan o no reglas operacionales

detalladas de cada sistema particular y estndares tcnicos de aplicacin, de
manera que, en el supuesto de que tales reglas no se incorporen directamente
a los cdigos, las instrucciones u rdenes que los establezcan debern
atenerse a los principios en ellos previstos.
Analizaremos a continuacin el objeto, la naturaleza, los sujetos habilitados

para la adopcin, el procedimiento de elaboracin, el contenido, las ventajas,
las garantas de cumplimiento, las obligaciones posteriores a su publicacin,
las ventajas que puede conllevar su adopcin, as como los cdigos que, a da
de hoy, se encuentran registrados en el RGPD.
1. Objeto de los cdigos tipo
Los cdigos tipo en materia de proteccin de datos de carcter personal tienen

por objeto adecuar lo establecido en la normativa vigente en este mbito a las
peculiaridades de los tratamientos efectuados por quienes se adhieren a los
mismos.
A tal efecto, contendrn reglas o estndares especficos que permitan

armonizar los tratamientos de datos efectuados por los adheridos, facilitar el
ejercicio de los derechos de los afectados y favorecer el cumplimiento de lo
dispuesto la LOPD y el RLOPD.

2. Naturaleza de los cdigos tipo
En relacin con esta cuestin, la propia LOPD establece, nicamente, la

posibilidad de formular cdigos tipo y reconoce el carcter de cdigos
deontolgicos o de buena prctica profesional de los mismos. Con base en ello,
ya podamos afirmar que su implementacin y la adscripcin a los mismos por
parte de los profesionales son voluntarias. A pesar de constituir un instrumento
de gran ayuda para cumplir la normativa vigente en materia de proteccin de
datos, no son normas jurdicas vinculantes.
Por su parte, el RLOPD nos recuerda este carcter de cdigos deontolgicos o

de buena prctica profesional y que, nicamente, sern vinculantes para
quienes se adhieran a los mismos.
Debemos detenernos en este punto aclarando que los responsables de

ficheros no estn obligados a participar en la elaboracin de este tipo de
cdigos y, una vez elaborados e inscritos, estn, del mismo modo, facultados
para elegir libremente sobre su adhesin o suscripcin, adems de no
implicar dicha adhesin el cumplimiento de la LOPD y su normativa de
desarrollo.
No obstante, si un responsable se adhiere a un cdigo tipo concreto, a partir de

ese momento, queda obligado al cumplimiento de las disposiciones incluidas
en el mismo y su incumplimiento podra ser sancionado por la entidad creada a
estos efectos. Consecuencia de ello, el responsable suscriptor o adherido
estar sometido a un control peridico por parte del citado rgano, que deber
verificar que cada una de las obligaciones aceptadas voluntariamente
continan siendo objeto de cumplimiento, resultando frecuente la creacin de
comits de control orientados a velar por el buen funcionamiento y aplicabilidad
del cdigo tipo.

3. Sujetos habilitados para la adopcin de cdigos tipo
La Directiva 95/46/CE, adems de autorizar a las asociaciones de

profesionales, deja abierta la posibilidad a cualquier organizacin representante
de otras categoras de responsables de tratamientos y, en transposicin de
sta, el legislador espaol ha conferido dicha posibilidad a todos los
responsables de tratamientos, ya sean de titularidad pblica o privada, as
como a las organizaciones en las que se agrupen, siempre que lo efecten
mediante acuerdos sectoriales, convenios administrativos o decisiones de
empresas. Esto ha supuesto un cambio fundamental respecto de lo establecido
en la LORTAD, dado que, si bien sta no haca alusin expresa a los sujetos
habilitados para la adopcin de cdigos tipo, s haca referencia a los
responsables de ficheros de titularidad privada, quedando excluidos, por tanto,
todos los responsables de tratamientos de titularidad pblica.
El RLOPD no introduce ninguna novedad en este sentido, reconociendo

igualmente la posibilidad de creacin de cdigos tipo por iniciativa de
empresas, grupos de entidades pertenecientes a un mismo sector y
Administraciones pblicas y corporaciones de derecho pblico
4. Procedimiento para la elaboracin de cdigos tipo
La LOPD no contempla ningn procedimiento especfico para la adopcin de

cdigos tipo, existiendo por ello una laguna en este punto, posiblemente
motivada por la propia naturaleza de estos cdigos, cuya implementacin es
totalmente voluntaria, laguna que no ha sido cubierta por el RLOPD. Como
consecuencia de ello, salvo los requisitos formales establecidos por la Ley
30/1992, de Rgimen Jurdico de las Administraciones Pblicas y del
Procedimiento Administrativo Comn (artculos 68 y 70) para la solicitud de
inscripcin de los cdigos tipo, su procedimiento de elaboracin se ajustar, en
cada caso, a la voluntad de los sujetos intervinientes en el mismo.

No obstante, el artculo 32.3 de la LOPD establece una obligacin que se debe

cumplir tras su elaboracin, expresndose en los siguientes trminos: ser
depositados e inscritos en el RGPD y, cuando corresponda, en los creados a
estos efectos por las Comunidades Autnomas.
El Registro podr denegar su inscripcin cuando considere que no se ajusta a

las disposiciones legales y reglamentarias sobre la materia, requiriendo, en
este caso, el Director de la AEPD a los solicitantes a fin de que efecten las
correcciones oportunas.
El RLOPD ha desarrollado la obligacin de depsito y publicidad de los cdigos

tipo, estableciendo que para que estos puedan considerarse como tales
debern depositarse e inscribirse en el RGPD o, cuando corresponda, en el
registro que fuera creado por las comunidades autnomas, que darn traslado
para su inclusin al RGPD, as como la obligacin de la AEPD de dar
publicidad a los cdigos tipo inscritos, preferentemente a travs de medios
informticos o telemticos.
5. Contenido de los cdigos tipo
La LOPD no regula el contenido que tienen que tener estos cdigos. Ante esta
laguna la AEPD recogi en su pgina web los aspectos de fondo del contenido
de estos cdigos. Se relaciona a continuacin el contenido mnimo que, a
tenor de lo expresado por la AEPD, deberan recoger:
Introduccin. Se expresarn las razones que han conducido al

desarrollo del cdigo, enumerando los valores aadidos que aporta su
cumplimiento, a travs de una exposicin de motivos.
Vid. AEPD, Aspectos de fondo del contenido de un cdigo tipo, https://www.agpd.es/

index.php?idSeccion=242.

mbito de aplicacin. El mbito de aplicacin responder a la actividad

de los responsables de ficheros que los suscriben, debiendo quedar
perfectamente delimitado.
Principios especficos del sector que representa. El cdigo tipo

deber incluir la aplicacin de principios especficos en el sector que
mejoren las previsiones legales, acotando estos principios y
desarrollando el procedimiento de aplicacin de los principios generales
de proteccin de datos al caso concreto del sector representado.
Definiciones especficas. Deber incluir las definiciones que amplen

conceptos de la Ley y, especialmente, definiciones de carcter tcnico
del sector involucrado.
Condiciones de organizacin y procedimientos. Entre otros

aspectos, deber singularizar los datos personales a tratar, identificar los
posibles destinatarios de cesiones o transferencias internacionales y las
leyes o previsiones que las amparan en el sector, delimitar las fuentes
de recogida de los datos, permitir el ejercicio de los derechos de acceso,
rectificacin, cancelacin y oposicin en condiciones ms favorables,
estableciendo para ello el procedimiento que corresponda, as como
incluir modelos para el ejercicio de estos derechos y clusulas
informativas para su introduccin en los cuestionarios de recogida de los
datos. Adems, podr incluir un sello de garanta identificativo del cdigo
tipo, que har referencia a la vinculacin al mismo.
Medidas de seguridad. Deber indicar el nivel mnimo de medidas de

seguridad que se van a aplicar y hacer una enumeracin de las mismas,
pudiendo establecer el compromiso de cumplimiento de un nivel de
medidas de seguridad mas alto que el correspondiente a los ficheros
objeto de tratamiento en el sector que elabora el cdigo tipo.
Comunicaciones y transferencias internacionales de datos. Deber

analizar las diferentes situaciones que se puedan dar en el sector y el
mbito legal en el que se producen.

Procedimiento de autorregulacin y control. En relacin con ste,

resulta destacable el deber de aclarar que supone una va opcional y
que siempre se podr acudir a la AEPD para presentar una reclamacin
ante el incumplimiento de la LOPD.
Rgimen sancionador. Tendr que establecer el rgimen de sanciones

por incumplimiento del cdigo tipo.
Relacin de adheridos. Contendr la relacin de adheridos, as como

el compromiso del titular del cdigo de comunicar altas, bajas o
modificaciones de asociados a la Agencia.
Marco normativo. Deber establecer el marco normativo general y el

especfico del sector, incluyendo todas las instrucciones y
recomendaciones que sean aplicables al sector.
Conclusiones. Deber contener un resumen de ventajas y/o garantas

que ofrece el cdigo a los titulares de los datos, modelos para el
ejercicio de los derechos y un resumen de obligaciones que deben
cumplir los responsables de los ficheros.
El RLOPD ha cubierto la laguna de la LOPD, regulando el contenido mnimo

que deben incluir los cdigos tipo, tal y se detalla a continuacin:
La delimitacin clara y precisa de su mbito de aplicacin, las

actividades a que el cdigo se refiere y los tratamientos sometidos al
mismo.
Las previsiones especficas para la aplicacin de los principios de

proteccin de datos.
El establecimiento de estndares homogneos para el cumplimiento por

los adheridos al cdigo de las obligaciones establecidas en la Ley
Orgnica 15/1999, de 13 de diciembre.

El establecimiento de procedimientos que faciliten el ejercicio por los

afectados de sus derechos de acceso, rectificacin, cancelacin y
oposicin.
La determinacin de las cesiones y transferencias internacionales de

datos que, en su caso, se prevean, con indicacin de las garantas que
deban adoptarse.
Las acciones formativas en materia de proteccin de datos dirigidas a

quienes los traten, especialmente en cuanto a su relacin con los
afectados.
Los mecanismos de supervisin a travs de los cuales se garantice el

cumplimiento por los adheridos de lo establecido en el cdigo tipo.
Clusulas tipo para la obtencin del consentimiento de los afectados al

tratamiento o cesin de sus datos.
Clusulas tipo para informar a los afectados del tratamiento, cuando los
datos no sean obtenidos de los mismos.
Modelos para el ejercicio por los afectados de sus derechos de acceso,

rectificacin, cancelacin y oposicin.
Modelos de clusulas para el cumplimiento de los requisitos formales

exigibles para la contratacin de un encargado del tratamiento, en su
caso.
Este contenido deber estar redactado en trminos claros y accesibles y con

suficiente grado de precisin.

Al margen del contenido mnimo indicado, los cdigos tipo podrn incluir
cualquier otro compromiso adicional que asuman los adheridos para un mejor
cumplimiento de la legislacin vigente en materia de proteccin de datos.
Adems podrn contener cualquier otro compromiso que puedan establecer las
entidades promotoras y, en particular, sobre:
La adopcin de medidas de seguridad adicionales a las exigidas por la LOPD y

el RLOPD.
La identificacin de las categoras de cesionarios o importadores de los

datos.
Las medidas concretas adoptadas en materia de proteccin de los

menores de determinados colectivos de afectados.
El establecimiento de un sello de calidad que identifique a los adheridos

al cdigo.
Finalmente, en virtud de lo establecido en el artculo 76 del RLOPD, se

deber incorporar a los cdigos tipo un anexo con la relacin de
adheridos, que tendr que mantenerse actualizada y a disposicin de la
AEPD.
En el plazo de un ao desde la entrada en vigor del RLOPD debern

notificarse a la AEPD las modificaciones que resulten necesarias en los
cdigos tipo inscritos en el RGPD para adaptar su contenido a lo
expuesto anteriormente.

6. Ventajas derivadas de la creacin de cdigos tipo
Uno de los aspectos que debe tener en cuenta todo responsable de ficheros
son las ventajas de distinta ndole que la adopcin de este tipo de cdigos
puede conllevar, como garanta frente a los titulares de los datos de carcter
personal y a la propia AEPD, as como, de forma interna, a la organizacin del
responsable del tratamiento.
En primer lugar, para los titulares de datos personales -ya consten en los
ficheros del responsable del tratamiento o se trate de sujetos que,
potencialmente, pueden estar interesados en la actividad desarrollada por el
mismo-, la adopcin de estos cdigos suponen unas obligaciones impuestas
por la normativa un cdigo tipo en materia de proteccin de datos podr ser
interpretada como reguladora de esta materia y el modo ms adecuado de
llevarlas a la prctica en su sector concreto, demostrando el respeto por el
derecho de los particulares a preservar sus datos personales.
En aras a la consecucin de la confianza de los titulares de los datos, lo ms

frecuente es que la suscripcin por parte de los responsables de tratamientos
de datos de carcter personal a estos cdigos traiga como consecuencia la
posibilidad de utilizar un sello de garanta que los identificar como tales, con
la finalidad de que produzca en los titulares de los datos el efecto anteriormente
expuesto. En relacin con la AEPD, dado que, como ya se ha reflejado
anteriormente, los cdigos tipo deben ser inscritos en el RGPD, previa revisin
de su adecuacin a las disposiciones legales y reglamentarias sobre la materia,
si con posterioridad la Agencia considera que una actuacin acorde con lo
establecido en el cdigo tipo suscrito es sancionable, el responsable podr
argumentar la doctrina de los actos propios, a fin de que dicha prctica no sea
considerada como contraria a la Ley.
Del mismo modo, la adhesin a un cdigo tipo tiene repercusiones internas

para el propio responsable del tratamiento de datos, facilitndole informacin
acerca de la manera de actuar en el proceso de tratamiento de los datos
personales, especialmente, en relacin con aquellos aspectos que generan a
todos los profesionales una mayor inseguridad en sus actuaciones.

7. Garantas del cumplimiento de los cdigos tipo
El RLOPD establece la obligacin de incluir en los cdigos tipo

procedimientos de supervisin independientes para garantizar el
cumplimiento de las obligaciones asumidas por los adheridos, y establecer un
rgimen sancionador adecuado, eficaz y disuasorio. Estos procedimientos
debern garantizar:
La independencia e imparcialidad del rgano responsable de la

supervisin.
La sencillez, accesibilidad, celeridad y gratuidad para la presentacin de
quejas y reclamaciones ante dicho rgano por los eventuales
incumplimientos del cdigo tipo.
El principio de contradiccin.
Una graduacin de sanciones que permita ajustarlas a la gravedad del
incumplimiento. Esas sanciones debern ser disuasorias y podrn
implicar la suspensin de la adhesin al cdigo o la expulsin de la
entidad adherida. Asimismo, podr establecerse, en su caso, su
publicidad.
La notificacin al afectado de la decisin adoptada.
Del mismo modo, podrn contemplar procedimientos para la determinacin de

medidas reparadoras en caso de haberse causado un perjuicio a los afectados
como consecuencia del incumplimiento del cdigo tipo.
8. Obligaciones posteriores a la inscripcin del cdigo tipo
Una vez publicado un cdigo tipo, las entidades promotoras o los rganos,
personas o entidades que al efecto se designen en el mismo tendrn que
cumplir las siguientes obligaciones establecidas en el RLOPD:

Mantener accesible al pblico la informacin actualizada sobre las

entidades promotoras, el contenido del cdigo tipo, los procedimientos
de adhesin y de garanta de su cumplimiento y la relacin de adheridos
a la que se refiere el artculo anterior. Esta informacin deber
presentarse de forma concisa y clara y estar permanentemente
accesible por medios electrnicos.
Remitir a la AEPD una memoria anual sobre las actividades realizadas

para difundir el cdigo tipo y promover la adhesin a ste, las
actuaciones de verificacin del cumplimiento del cdigo y sus resultados,
las quejas y reclamaciones tramitadas y el curso que se les hubiera
dado y cualquier otro aspecto que las entidades promotoras consideren
adecuado destacar.
Cuando se trate de cdigos tipo inscritos en el registro de una autoridad

de control de una comunidad autnoma, la remisin se realizar a dicha
autoridad, que dar traslado al RGPD.
Evaluar peridicamente la eficacia del cdigo tipo, midiendo el grado de

satisfaccin de los afectados y, en su caso, actualizar su contenido para
adaptarlo a la normativa general o sectorial de proteccin de datos
existente en cada momento.

i. Cdigos tipo inscritos
A da de hoy, nicamente se han inscrito doce cdigos tipo, constando dos de

ellos en el RGPD con anterioridad a la entrada en vigor de la LOPD y en su
totalidad con carcter previo a la entrada en vigor del RLOPD. A continuacin,
analizaremos brevemente cada uno de ellos, centrndonos en su objeto y
mbito de aplicacin, dado que es suficiente para conocer su espritu y entrar
en ms detalles nos obligara a extendernos demasiado. Para ello, se seguir
un orden cronolgico por fecha de inscripcin del ms antiguo al ms reciente.
Cdigo Tipo de Telefnica de Espaa, S.A.

Fecha Inscripcin: 20/12/1994 (modificado en diciembre de 2003).
Siendo el primer cdigo inscrito en el RGPD, concret su objeto en establecer

los principios a los que se sujeta la actuacin de Telefnica de Espaa en
materia de proteccin de datos, regulando las condiciones organizativas y
tcnicas de los ficheros existentes en la actualidad o que puedan crearse en el
futuro, as como las condiciones para la recogida y utilizacin de los datos,
determinando el procedimiento a seguir en el ejercicio de los derechos de
acceso, rectificacin, cancelacin y oposicin por los afectados, as como los
derechos especficos de los usuarios en el sector de las telecomunicaciones.
Este cdigo resulta aplicable a los tratamientos de datos de carcter personal

que se efecten en Espaa por Telefnica de Espaa, sirviendo de punto de
referencia para el resto de las empresas del Grupo, como parmetros
deseables a los que se debe tender aun cuando no exista legislacin de
proteccin de datos en los pases en los que estn establecidas.

Cdigo Tipo de Asociacin Multisectorial de la Informacin (ASEDIE).

Fecha de inscripcin: 15/09/1999.
Constituye el objeto de este cdigo establecer las condiciones de organizacin,

rgimen de funcionamiento, procedimientos aplicables, normas de seguridad
del entorno, obligaciones de los implicados en el tratamiento y uso de la
informacin personal, as como las garantas para el ejercicio de los derechos
de las personas, en su mbito; resultando de aplicacin a las relaciones que
mantengan las empresas asociadas a la ASEDIE (Sector de Informacin
Comercial) con las personas objeto de informes comerciales, con los usuarios
de los mismos, as como a las relaciones que dichos asociados mantengan
entre s y con terceras personas, empresas, entidades u organismos
relacionados de forma directa o indirecta con el ejercicio de la actividad de
informacin comercial.
Del mismo modo, se aplica a los ficheros automatizados que contengan datos
de carcter personal y de los que sean responsables las empresas asociadas a
ASEDIE, cuya finalidad sea la prestacin de servicios de informacin sobre la
solvencia patrimonial y crdito.
Cdigo Tipo de Fichero Histrico de Seguros del Automvil (UNESPA).

En relacin con su objeto, este cdigo se expresa en los trminos que se

recogen a continuacin:
El Fichero Histrico, cumple con la finalidad descrita en el artculo 24.3,
prrafo segundo de la Ley 33/1995 en cuanto a fichero de colaboracin
estadstico actuarial para la tarificacin y seleccin de riesgos, recogiendo
informacin sobre los contratos de seguros del automvil que el tomador ha
suscrito en los ltimos cinco aos as como de los siniestros vinculados a
dichos contratos.

Igualmente, el Fichero contribuir a promover la transparencia en el mercado

del seguro del automvil y la aplicacin equitativa y suficiente de las tarifas a
los riesgos asegurados. Los asegurados tendrn un mayor acceso al conjunto
de ofertas del sector y podrn buscar la que ms se adecue a sus necesidades
al permitrsele tener conocimiento de sus propios datos de siniestralidad, factor
esencial para el clculo de la prima del seguro. Por su parte las entidades
aseguradoras tendrn una informacin exacta y precisa del riesgo que
complementar la facilitada por el tomador en la solicitud de seguro, en su
deber de declaracin del riesgo.
Se entiende por siniestro el acaecimiento del hecho que, previsto en el

contrato, es susceptible de dar lugar al pago de la indemnizacin por la entidad
aseguradora con cargo a la pliza suscrita por el tomador. Su mbito de
aplicacin se extiende al responsable del fichero, la empresa de servicios de
tratamiento automatizado y todas las entidades aseguradoras autorizadas para
operar en Espaa en el ramo de responsabilidad civil de automviles, sean o
no asociadas a UNESPA, teniendo como nico requisito imprescindible que
estn inscritas en el Registro Especial de la Direccin General de Seguros.
Cdigo Tipo de La Asociacin Nacional de Fabricantes (ANF).

El presente cdigo arbitra un sistema, cuyo seguimiento asegura a los

adheridos al mismo el pleno cumplimiento de sus obligaciones en materia de
proteccin de datos de carcter personal. Podrn suscribir este cdigo todas
las empresas o profesionales adheridos a la ANF, resultando aplicable a los
datos de carcter personal contenidos en ficheros sobre clientes.

Cdigo Tipo de Agrupacin Catalana de Establecimientos Sanitarios (ACES).

La ACES es una asociacin empresarial que tiene como finalidad el

asesoramiento, defensa y representacin de sus miembros, procurando en
todo momento la optimizacin de mtodos de trabajo y objetivos, en general,
tendiendo fundamentalmente a la promocin de sus intereses sociales,
laborales, profesionales y culturales.
Atendiendo a dicha finalidad se cre este cdigo, cuyo mbito de aplicacin

abarca tanto a sus socios de nmero -personas fsicas o jurdicas que siendo
de titularidad privada desarrollen su actividad principal dentro del sector
sanitario como a los socios de honor -personas o entidades que presten o
hayan prestado a la Agrupacin o a la Sanidad ayudas o colaboraciones
destacadas-, siempre previo acuerdo de la Asamblea General de ACES a
propuesta de la Junta Directiva.
Cdigo Tipo de Uni Catalana DHospitals (UNI).

Fecha de inscripcin: 12/07/2002 (modificado en julio de 2004).
La indiscutible y, legalmente reconocida, naturaleza sensible de los datos

personales concernientes a la salud unida a la posibilidad de establecer
cdigos tipo, arrastraron a la UNI a utilizar este instrumento con la finalidad
de que los adheridos a este cdigo preserven de cualquier violacin la
privacidad de las personas fsicas y garanticen su autodeterminacin
informativa.
En relacin con su mbito subjetivo de aplicacin, podemos afirmar que ste se

extiende, no slo a los asociados que manifiesten de forma expresa su
adhesin al mismo, sino tambin a aquellas entidades no asociadas pero que,
reuniendo las condiciones para poder serlo, con implantacin territorial en
cualquier territorio del estado, manifiesten su voluntad de adhesin al cdigo de
forma expresa.

Por su parte, el mbito objetivo se centra en el tratamiento de datos de carcter

personal contenidos en los ficheros de pacientes/historia clnica, sea cual sea
su soporte y modalidad de tratamiento.
Cdigo Tipo de Comercio Electrnico y Publicidad Interactiva

(AUTOCONTROL-AECE-IAB SPAIN).Fecha Inscripcin: 07/11/2002.
Nos encontramos ante un sector extremadamente dinmico y en permanente

evolucin, donde las posibilidades de obsolescencia normativa son mayores
que en cualquier otro. Adaptarse a los cambios previendo soluciones a estos
problemas de regulacin es uno de los objetivos que inspiran el presente
cdigo, aplicable a la publicidad y al comercio electrnico realizado a travs de
medios electrnicos de comunicacin a distancia, por personas fsicas o
jurdicas con establecimiento permanente en Espaa o dirigidos de forma
especfica al mercado espaol.
Cdigo Tipo de Odontlogos y Estomatlogos de Espaa.

Mediante la elaboracin de este cdigo el Ilustre Consejo de Colegios Oficiales

de Odontlogos y Estomatlogos de Espaa pretende ofrecer garantas para
las personas cuyos datos de carcter personal se traten por los profesionales
colegiados en los Colegios Oficiales de Odontlogos y Estomatlogos de
Espaa, fijando reglas especficas para el tratamiento de datos de carcter
personal en el mbito del ejercicio de esta profesin; todo ello, sin perjuicio de
la aplicacin de las obligaciones y deberes genricos establecidos por las
normas vigentes en materia de proteccin de datos de carcter personal
aplicables a todas las personas, entidades o empresas titulares de ficheros que
contengan datos personales.
Su mbito de aplicacin se extiende a todos los servicios profesionales

prestados por odontlogos y estomatlogos colegiados en los Colegios
Oficiales de Odontlogos y Estomatlogos espaoles, que se adhieran al
cdigo, ya sean prestados en clnicas y/o consultorios dentales individuales o
colectivos.

Cdigo Tipo Universidad de Castilla-La Mancha.

Esta institucin acadmica, que ha mostrado siempre una especial sensibilidad

por los temas relacionados con la seguridad informtica y el respeto a todo lo
relacionado con la proteccin de datos de carcter personal, ha sido la primera
institucin pblica en implementar un cdigo tipo en esta materia, con la
pretensin de cumplir de la forma ms sencilla y segura con la legislacin, a
travs de un documento nico que rena todos los documentos esenciales, y
servir de referente al resto de universidades espaolas, contribuyendo, al
mismo tiempo, al conocimiento de este derecho fundamental.
Se ha establecido como objeto de ste cdigo garantizar y proteger, en lo que

concierne al tratamiento de los datos personales, las libertades pblicas y los
derechos fundamentales de las personas fsicas y, especialmente, de su honor
e intimidad personal y familiar, resultando de aplicacin a los datos de carcter
personal que figuren en ficheros automatizados de la Universidad de Castilla-
La Mancha y a toda modalidad de uso posterior de estos datos.
Cdigo Tipo de la Asociacin Catalana de Recursos Asistenciales (ACRA).

Este cdigo ha establecido la siguiente distincin en relacin con su objeto:
A. Respecto a los responsables de los ficheros: las condiciones de

utilizacin y conservacin de los datos de carcter personal, el rgimen de
cesin o comunicacin, las directrices de la normativa interna de los asociados
adheridos al cdigo, la creacin de un Comit de proteccin de datos en el
seno de la ACRA y un rgimen de infracciones y sanciones.
B. Respecto a los titulares de los datos de carcter personal: definir y

delimitar los procedimientos para ejercer los derechos de los titulares de los
datos de carcter personal en aras a obtener las mayores garantas de estos
derechos, tanto en lo que se refiere a su difusin como a su ejercicio y la
proteccin, en lo que concierne al tratamiento de los datos de carcter

personal, de las libertades pblicas y los derechos fundamentales de los

residentes en cualquiera de los centros o establecimientos asociados y
adheridos al cdigo, as como, su derecho al honor e intimidad personal y
familiar.
En trminos generales, es aplicable a los datos de carcter personal de los

residentes registrados en soportes automatizados o no, que los hagan
susceptibles de tratamiento, y a toda modalidad de uso posterior de los
mismos, de los que sean responsables los asociados de ACRA que se
adhieran al cdigo tipo.
Cdigo Tipo del Sector de la Intermediacin Inmobiliaria. Asociacin Empresarial de

Gestin Inmobiliaria (AEGI).
La AEGI, conocedora de la problemtica que en cuanto al tratamiento de datos

de carcter personal presenta el sector de la gestin inmobiliaria, consider
imprescindible el establecimiento de un marco que recoja un conjunto de
normas de autorregulacin que garantice que el sector cumple con las
previsiones que la LOPD y sus reglamentos establecen, lo que debe traducirse
en un beneficio de imagen y gestin hacia el cliente, estableciendo como
mbito de aplicacin, en general, los tratamientos efectuados por las empresas
adheridas para la prestacin de sus servicios de gestin inmobiliaria y, en
concreto, los siguientes tratamientos:
a) Tratamientos de datos destinados a captar clientes para compra,

venta o alquiler de inmuebles (cliente potencial).
b) Tratamientos de datos involucrados directamente en operaciones de
compraventa y/o alquiler de inmuebles o destinadas a la concrecin futura de
las mismas (fases previas o de reserva e intermediacin concretada o no).
c) Tratamientos de datos relacionados en todo o en parte con la gestin
inmobiliaria, como pudieran ser la gestin de la contratacin de los suministros
necesarios para la vivienda, de la financiacin necesaria para la adquisicin o
arrendamiento de un inmueble (sea como mera intermediacin o servicio
propio), prestacin de servicios de rehabilitacin u obras en inmuebles.

d) aquellos derivados de operaciones de promocin o construccin

inmobiliaria en la parte que concierne a las acciones destinadas a la venta o
arrendamiento de las viviendas construidas.
e) cualesquiera comprendidos en el mbito de la gestin inmobiliaria.
Cdigo Tipo Veraz-Persus. Soluciones Veraz ASNEF-EQUIFAX, S. L.

El objeto de este cdigo tipo es establecer las condiciones de organizacin y

rgimen de funcionamiento del fichero Veraz-Persus, con el objeto de ofrecer a
los beneficiarios unas garantas ms amplias que las contenidas en la
normativa dictada en materia de proteccin de datos de carcter personal.
El fichero Veraz-Persus, es un fichero de auto-inclusin en el que cualquier

persona, por s misma, o a travs de su tutor legal, podr solicitar su
incorporacin con el objeto de evitar el uso fraudulento de sus datos personales
por terceros en perjuicio de su identidad, solvencia y patrimonio econmico.
Despus de este anlisis de la figura de los cdigos tipo en materia de

proteccin de datos y, ya para finalizar, debemos insistir en que, si bien stos
no tienen carcter normativo, sino, como ya se ha indicado, de cdigos
deontolgicos o de buena prctica profesional, constituyen un importante
instrumento para facilitar el cumplimiento de la normativa de proteccin de
datos de carcter personal, que como decamos al comienzo, est resultando
muy complejo y requiriendo un gran esfuerzo por parte de las entidades o
personas fsicas a las que les resulta de obligado cumplimiento la citada
normativa.

9. Obligaciones bsicas segn la normativa
En este apartado haremos una exposicin de las obligaciones principales que

la normativa de proteccin de datos impone a los responsables de los ficheros
de datos de carcter personal y dems personas que intervienen en algn
momento en el tratamiento de los mismos.
Para ello, y con el objetivo de aportar una visin prctica en su desarrollo,
hemos dividido el transcurso del tratamiento de los datos en tres momentos
principales:
con carcter previo a la recogida de los datos,
durante el tratamiento de los datos y
una vez finalizado el tratamiento.
De este modo, analizaremos cada una de las obligaciones, ubicndolas en el

momento en el que deben ser tenidas en cuenta para una correcta aplicacin
de la normativa de proteccin de datos, ya que la propia LOPD establece en
qu punto del tratamiento deben ser apreciadas unas y otras. Antes de la
recogida de los datos seguiremos una serie de pasos
Pasos previos a la recogida de informacin
1 Creacin y notificacin de ficheros
Qu es un fichero de datos de carcter personal?
Debemos comenzar analizando qu es un fichero de datos de carcter

personal y qu se entiende como tal a efectos de notificacin.
La definicin legal de fichero se encuentra recogida en el artculo 3.b) de la
LOPD que se expresa en los siguientes trminos:
todo conjunto organizado de datos de carcter personal, cualquiera que

fuere la forma o modalidad de su creacin, almacenamiento, organizacin y

acceso, definicin que ha sido desarrollada por el RLOPD, en su artculo

5.1.k), quedando finalmente como:
todo conjunto organizado de datos de carcter personal, que permita el
acceso a los datos con arreglo a criterios determinados, cualquiera que
fuere la forma o modalidad de su creacin, almacenamiento, organizacin y
acceso.
Nos encontramos ante una definicin de carcter genrico y que puede

resultar tan amplia que en la prctica no ha sido de gran ayuda, creando
incluso confusin en numerosas ocasiones en las que, atendiendo a la
misma, no queda claro si nos encontramos ante un fichero protegido por la
normativa de proteccin de datos personales y que, por consiguiente, debe
ser declarado ante la AEPD para su inscripcin en el RGPD o, por el
contrario, podramos estar ante varios ficheros cuya declaracin debe
hacerse de forma independiente. Dentro de esta definicin podemos
englobar muchos trminos utilizados habitualmente, tales como base de
datos, aplicacin, programa, tabla, fichero... -en relacin con el tratamiento
informatizado-, o cajonera, armario, archivo... -si nos referimos a
tratamientos no informatizados, sino manuales-. Estos trminos vienen a
identificar los denominados ficheros fsicos.
Frente a estos, existen los llamados ficheros lgicos, que podemos definir
como ficheros o conjunto de ficheros fsicos que contienen el mismo tipo de
datos y son tratados para la misma finalidad.
La AEPD ha considerado que slo los ficheros lgicos son objeto de

declaracin. Esto significa que, una vez identificados los ficheros fsicos, el
responsable de los mismos podr agruparlos en ficheros lgicos atendiendo
a los criterios indicados.
As por ejemplo, en una empresa pueden existir diversos ficheros fsicos

con datos de clientes (datos bancarios, gestin de la relacin comercial,
marketing, gestin de impagados). Todos estos tienen datos de clientes y
comparten la finalidad consistente en gestionar la relacin con los mismos,
de manera que se pueden agrupar en un nico fichero lgico y declararse
ante la AEPD, por ejemplo, bajo el nombre de clientes.

El concepto anteriormente indicado puede matizarse an ms teniendo en

cuenta lo establecido en el artculo 2.c) de la Directiva 95/46/CE, dado que
el mismo aclara la referencia a la forma de creacin, almacenamiento,
organizacin y acceso del fichero al indicar que el conjunto de datos tendr
esa consideracin ya sea centralizado, descentralizado o repartido de
forma funcional o geogrfica.
En cuanto al reparto geogrfico, podemos afirmar que el concepto de

fichero no va directamente vinculado a la exigencia de que el mismo se
encuentre en una nica ubicacin. Es posible la existencia de ficheros
distribuidos en lugares geogrficos remotos entre s, siempre y cuando la
organizacin y sistematizacin de los datos responda a un conjunto
organizado y uniformado de datos, sometido a algn tipo de gestin
centralizada.
La AEPD se ha pronunciado en este sentido a travs de un informe jurdico

emitido en respuesta a una consulta planteada por una entidad que
dispona de diversos centros, ubicados en distintos lugares y carentes de
personalidad jurdica propia, disponiendo de informacin sometida a
tratamiento similar repartida en ficheros idnticos y alojada en servidores
diferentes, dada su ubicacin en los distintos centros, pero administrados y
gestionados de forma centralizada.
En relacin con este tema, el RLOPD -artculo 56- viene a aclarar que:
la notificacin de un fichero de datos de carcter personal es independiente
del sistema de tratamiento empleado en su organizacin y del soporte o
soportes empleados para el tratamiento de los datos y que cuando los
datos de carcter personal objeto de tratamiento estn almacenados en
diferentes soportes, automatizados y no automatizados, o exista una copia
en soporte no automatizado de un fichero automatizado, slo ser preciso
una sola notificacin, referida a dicho fichero.

Lo primero que debemos pensar si deseamos crear un fichero que contenga

datos personales, es que tenemos que enfrentarnos a un requisito,
establecido en el artculo 25 de la LOPD, en virtud del cual es
imprescindible que el fichero resulte necesario para el logro de la actividad
u objeto legtimos de la persona, empresa o entidad titular y se respeten las
garantas que esta Ley establece para la proteccin de las personas.
Si bien, del respeto de las garantas establecidas en la LOPD iremos

hablando a lo largo de todo este apartado, debemos analizar antes de
seguir adelante el significado de la expresin [...] resulte necesario para el
logro de la actividad u objeto legtimos [...]. Dicha necesidad, con
frecuencia viene establecida o se deriva del cumplimiento de la legislacin
aplicable a la actividad u objeto desarrollados por el responsable, tanto en
trminos generales como fruto de alguna norma sectorial. De ah que
algunos ficheros resultan imprescindibles para el desarrollo de cualquier
actividad u objeto legitimo (ya sea empresarial, comercial, profesional...) y
otros resultan especficos de cada sector. Incluso, al margen de los ficheros
creados por imposicin, cualquier persona, empresa o entidad, puede sentir
la necesidad de crear ficheros con distintas finalidades, pero para su
creacin siempre ha de haber una justificacin directamente vinculada a la
actividad u objeto legtimos, sin existir limitacin alguna en relacin con el
nmero de ficheros inscribibles.
En este orden de cosas, podemos poner como ejemplos ms claros en los

que se cumple este primer requisito para la creacin de ficheros, aquellos
en los que la necesidad de su creacin es consecuencia directa del
cumplimiento de una Norma que el titular debe aplicar para el desarrollo de
su actividad u objeto legtimos, de lo que no cabe duda en ficheros como los
que se describen a continuacin:
A. Los ficheros tradicionalmente denominados personal, empleados, gestin

laboral..., permiten llevar a cabo la gestin laboral de la actividad
desarrollada por el responsable del fichero, as como un control detallado de
las cuestiones relativas al personal laboral. En este sentido, la Ley 42/1997,
de 14 de noviembre, Ordenadora de la Inspeccin de Trabajo y Seguridad
Social, hace referencia a la conservacin de informacin del personal

laboral por parte del empleador, al disponer en su artculo 11 que toda

persona natural o jurdica estar obligada a proporcionar a la Inspeccin de
Trabajo y Seguridad Social toda clase de datos, antecedentes o informacin
con trascendencia en los cometidos inspectores, siempre que se deduzcan
de sus relaciones econmicas, profesionales, empresariales o financieras
con terceros sujetos a la accin inspectora, cuando a ello sea requerida en
forma.
B. Otros de los ficheros ms habitualmente declarados por los responsables

son los denominados gestin fiscal y contable, gestin financiera,
facturacin... No cabe duda de la necesidad de estos ficheros para el logro
de la actividad legtima de cualquier actividad econmica. En este sentido,
el artculo 142 de la Ley 58/2003, de 17 de diciembre, General Tributaria,
que se expresa en los siguientes trminos:
Las actuaciones inspectoras se realizarn mediante el examen de

documentos, libros, contabilidad principal y auxiliar, ficheros, facturas,
justificantes, correspondencia con trascendencia tributaria, bases de datos
informatizadas, programas, registros y archivos informticos relativos a
actividades econmicas, as como mediante la inspeccin de bienes,
elementos, explotaciones y cualquier otro antecedente o informacin que
debe de facilitarse a la Administracin o que sea necesario para la
exigencia de las obligaciones tributarias, justifica la creacin de dichos
ficheros.
C. Poniendo como ejemplo el sector sanitario, en el que los derechos a la

intimidad y a la proteccin de datos tienen una relevancia especial,
cualquier centro sanitario, desde las clnicas en las que un nico profesional
desarrolla su actividad de forma autnoma hasta los grandes hospitales,
tienen la obligacin de disponer de un fichero con las historias clnicas de
sus pacientes, cuya finalidad es la gestin de la prestacin sanitaria
prestada a los mismos. Fruto de la obligacin de conservacin de la
documentacin clnica, establecida en el artculo 17.1 de la Ley 41/2002, de
14 de noviembre, reguladora bsica de la autonoma del paciente y de
derechos y obligaciones en materia de informacin y documentacin clnica,
se especifica que:

los centros sanitarios tienen la obligacin de conservar la documentacin

clnica en condiciones que garanticen su correcto mantenimiento y
seguridad, aunque no necesariamente en el soporte original, para la debida
asistencia al paciente durante el tiempo adecuado a cada caso y, como
mnimo, cinco aos contados desde la fecha del alta de cada proceso
asistencial.
De lo anteriormente expuesto, podemos concluir que cualquiera de estos

ficheros cumple con el requisito de ser necesario para el logro de la
actividad u objeto legtimos de sus responsables. A pesar de que no
siempre tiene que ser as, ni es la nica justificacin para que un fichero
cumpla el requisito de ser necesario que venimos analizando, los ms
habituales surgen de la necesidad de cumplir con requisitos impuestos por
diferentes legislaciones. No podemos olvidar que, fuera de estos supuestos,
cualquier persona, empresa o entidad, puede necesitar crear ficheros con
distintas finalidades, lo que no supondr ningn problema siempre que
exista una justificacin directamente vinculada a su actividad u objeto
legtimos.
10. Ficheros de titularidad privada
Los ficheros de titularidad privada son definidos en el artculo 5.1.l) del

RLOPD como aquellos de los que son responsables las personas,
empresas o entidades de derecho privado, independientemente de quien
ostente la titularidad de su capital o de la procedencia de sus recursos
econmicos, as como los ficheros de los que sean responsables las
corporaciones de derecho pblico, pero no se encuentran estrictamente
vinculados al ejercicio de potestades de derecho pblico atribuida por su
normativa especfica.
Para la creacin de estos ficheros hay que cumplir un procedimiento formal

establecido en el artculo 27 de la LOPD, siguiendo los pasos que se
describen a continuacin:

A. Notificacin previa a la AEPD, cumplimentando los modelos o

formularios electrnicos aprobados al efecto por la AEPD en resolucin de
12 de julio de 2006 y publicados en el Boletn Oficial del Estado de 31 de
julio 2006, en los que se detallar necesariamente la identificacin del
responsable del fichero, el nombre del fichero, sus finalidades y los usos
previstos, el sistema de tratamiento empleado, el colectivo de personas
sobre el que se obtienen los datos, el procedimiento y la procedencia de los
datos, las categoras de datos, el servicio o unidad de acceso, la
identificacin del nivel de medidas de seguridad bsico, medio o alto
exigible y, en su caso la identificacin del encargado de tratamiento donde
se encuentre ubicado el fichero y los destinatarios de cesiones y
transferencias internacionales de datos. Adems, se declarar un domicilio
a efectos de notificacin. En funcin de lo establecido en el RLOPD, esta
notificacin podr realizarse en diferentes soportes, tal y como se explica a
continuacin:
- En soporte electrnico -mediante comunicacin electrnica o en

soporte informtico, utilizando el programa NOTA (Notificaciones
Telemticas a la Agencia) para la generacin de notificaciones
que la AEPD ha puesto a disposicin de todos los ciudadanos.
- En soporte papel, utilizando igualmente los modelos aprobados
por la AEPD.
Estos formularios se pueden obtener gratuitamente en la pgina web de la

AEPD (www.agpd.es).

B. Si la notificacin se ajusta a los requisitos exigibles, el Director de la

AEPD, a propuesta del Registro General de Proteccin de Datos (en
adelante, RGPD), acordar la inscripcin del fichero asignndole el
correspondiente cdigo de inscripcin. En caso contrario, dictar resolucin
denegando la inscripcin, debidamente motivada y con indicacin expresa
de las causas que impiden la inscripcin.
El art. 59.3 del RLOPD, introduce como novedad la posibilidad del Director
de la AEPD de establecer procedimientos simplificados de notificacin en
atencin a las circunstancias que concurran en el tratamiento o el tipo de
fichero al que se refiere la notificacin.
La notificacin de la creacin de ficheros de datos de carcter personal ante

la AEPD es una obligacin que corresponde al responsable de los mismos,
de manera que cuando se tenga previsto crear un fichero del que resulten
responsables varias personas o entidades simultneamente, cada una de
ellas deber notificar, a fin de proceder a su inscripcin en el RGPD, la
creacin del correspondiente fichero.
Adems, esta obligacin no conlleva coste econmico alguno.
Es importante destacar que la inscripcin de los ficheros debe encontrarse

actualizada en todo momento y es meramente declarativa, sin calificar que
se estn cumpliendo las restantes obligaciones derivadas de la LOPD.
Como consecuencia, que el RGPD acepte la inscripcin de un fichero no
conlleva, en ningn caso, un reconocimiento por parte de la AEPD de
cumplimiento de ninguna otra obligacin establecida en la normativa vigente
en materia de proteccin de datos. Tal y como se expresa la propia AEPD
en sus notificaciones:
La inscripcin de un fichero en el Registro General de Proteccin de Datos,

nicamente acredita que se ha cumplido con la obligacin de notificacin
dispuesta en la Ley Orgnica 15/1999, sin que se esta inscripcin se pueda
desprender el cumplimiento por parte del responsable del fichero del resto
de las obligaciones revistas en dicha Ley y dems disposiciones
reglamentarias.

No por ello, debemos restar importancia al cumplimiento de la obligacin de

notificar los ficheros ya que permite dar publicidad de su existencia,
poniendo a disposicin de todos los ciudadanos, los ficheros en los que
podran encontrarse sus datos personales, facilitndoles de este modo el
conocimiento de lo siguiente:
- La totalidad de ficheros en los que podran encontrarse sus datos

personales.
- La identificacin del fichero, sus finalidades y los usos previstos, el

sistema de tratamiento empleado, el colectivo de personas sobre el que se
obtienen los datos, el procedimiento y procedencia de los datos, las
categoras de datos, el servicio o unidad de acceso, la identificacin del
nivel de medidas de seguridad bsico, medio o alto exigible y, en su caso, la
identificacin del encargado de tratamiento donde se encuentre ubicado el
fichero y los destinatarios de cesiones y transferencias internacionales de
datos.
- Los responsables ante los que pueden ejercitar los derechos de

acceso, rectificacin, cancelacin u oposicin.
Pero las ventajas de la inscripcin registral no alcanzan nicamente a

los ciudadanos, sino que se extienden tanto a la AEPD como a los
propios responsables de los ficheros.
En relacin con la AEPD, podemos destacar que la inscripcin de los ficheros

le permite disponer de una relacin actualizada de los ficheros inscritos,
facilitndole:
el cumplimiento de la obligacin de velar por la publicidad de la

existencia de los ficheros de datos con carcter personal,
Artculo 37.1. j) LOPD.

el conocimiento de todos los ficheros que deben cumplir con las

obligaciones establecidas en la LOPD y su normativa de
desarrollo,
el ejercicio de las actividades que la normativa le encomienda

como Autoridad de Control y
el ejercicio del derecho de consulta de los ciudadanos.
Desde la perspectiva del responsable de los ficheros, podemos

apreciar las siguientes ventajas respecto de la inscripcin de ficheros
en el RGPD:
o Evitar la imposicin de sanciones.

o Mostrar el compromiso o la intencin de cumplir con la
normativa de proteccin de datos.
o Facilitar a los titulares de los datos contenidos en sus
ficheros el ejercicio de los derechos de acceso,
rectificacin, cancelacin y oposicin.
Como resumen de lo expuesto hasta el momento, podemos hacernos

eco de los principios que rigen la inscripcin de ficheros, recogidos en la
Memoria de la AEPD del ao 2000:
El responsable del fichero deber efectuar una notificacin de un

tratamiento de un conjunto de tratamientos.
La inscripcin de un fichero de datos no prejuzga que se hayan

cumplido el resto de las obligaciones derivadas de la Ley.
La notificacin de ficheros implica el compromiso por parte del

responsable de que el tratamiento de datos personales
declarados para su inscripcin cumple con todas las exigencias
legales.

La notificacin de los ficheros al Registro supone una obligacin

de los responsables del tratamiento, sin coste econmico alguno
para ellos, y facilita que las personas afectadas puedan conocer
quines son los titulares de los ficheros ante los que deben
ejercitar directamente los derechos de acceso, rectificacin,
cancelacin y oposicin.
Toda persona o entidad que proceda a la creacin de ficheros de

datos de carcter personal lo notificar previamente a la AEPD.
En la notificacin debern figurar necesariamente el responsable

del fichero, la finalidad del mismo, las medidas de seguridad, con
indicacin del nivel bsico, medio o alto exigible y las cesiones de
datos de carcter personal que se prevean realizar y, en su caso,
las transferencias de datos que se prevean a pases terceros.
Deber comunicarse a la APD cualquier cambio que se produzca

con respecto a la declaracin inicial y particularmente en la
finalidad del fichero, en su responsable y en la direccin de su
ubicacin.
El RGPD inscribir el fichero si la notificacin se ajusta a los

requisitos exigibles. En caso contrario podr pedir que se
completen los datos que falten o se proceda a su subsanacin.
Transcurrido un mes desde la presentacin de la solicitud de

inscripcin sin que la AEPD hubiera resuelto sobre la misma, se
entender inscrito el fichero a todos los efectos.

Deben inscribirse los ficheros temporales?
El RLOPD recoge la primera definicin legal de ficheros temporales en su

artculo 5.2.g). En virtud de esta se entienden como tales los ficheros de
trabajo creados por usuarios o procesos que son necesarios para un
tratamiento ocasional o como paso intermedio durante la realizacin de un
tratamiento. Estos ficheros no tienen que inscribirse, pero s tiene que estar
inscrito el fichero de origen. En este sentido se ha pronunciado la AEPD,
facilitando adems algunos ejemplos:
Ej. si se crea un fichero temporal para organizar las vacaciones del personal a
partir del fichero de recursos humanos, tendr que estar inscrito el fichero de
recursos humanos. Respecto del fichero de vacaciones tendrn que adoptarse
las medidas de seguridad correspondientes. Un fichero creado para realizar
tratamientos de datos peridicos, SI que tendr que inscribirse.
Ej. Censo agrario, preinscripcin anual en un polideportivo, ..
1.1. Ficheros de titularidad pblica
Los ficheros de titularidad pblica son definidos en el artculo 5.1.m) del

RLOPD como los ficheros de los que sean responsables los rganos
constitucionales o con relevancia constitucional del Estado o las instituciones
autonmicas con funciones anlogas a los mismos, las Administraciones
pblicas territoriales, as como las entidades u organismos vinculados o
dependientes de las mismas y las Corporaciones de derecho pblico siempre
que su finalidad sea el ejercicio de potestades de derecho pblico, como por
ejemplo los colegios profesionales.
En relacin con estos ficheros hay que tener en cuenta las disposiciones
sectoriales establecidas por la LOPD. Con base en las mismas, podemos
afirmar que la creacin de los ficheros de las Administraciones Pblicas slo
podr hacerse por medio de disposicin general publicada en el Boletn Oficial
del Estado o diario oficial correspondiente -artculo 22 LOPD-. Dicha
disposicin deber indicar:

La finalidad del fichero y los usos previstos para el mismo.

Las personas o colectivos sobre los que se pretenda obtener datos de
carcter personal o que resulten obligados a suministrarlos.
El procedimiento de recogida de los datos de carcter personal.
La estructura bsica del fichero y la descripcin de los tipos de datos de
carcter personal incluidos en el mismo.
Las cesiones de datos de carcter personal y, en su caso, las
transferencias de datos que se prevean a pases terceros.
Los rganos de las Administraciones responsables del fichero.
Los servicios o unidades ante los que pudiesen ejercitarse los derechos
de acceso, rectificacin, cancelacin y oposicin.
Las medidas de seguridad con indicacin del nivel bsico, medio o alto
exigible.
El artculo 55 del RLOPD, establece un plazo de treinta das desde la

publicacin de su norma o acuerdo de creacin en el diario oficial
correspondiente, para que todo fichero de datos de titularidad pblica sea
notificado a la AEPD para su inscripcin en el RGPD.
Cuando la actividad relacionada con la finalidad del fichero no pueda ser

considerada como pblica en sentido estricto, este se considerar privado,
como por ejemplo el fichero de formacin de un colegio profesional, cuya
finalidad es dar formacin a los colegiados o terceras personas.
1.2. La calidad de los datos
El principio de calidad de los datos, establecido en el artculo 4 de la LOPD,

regir el tratamiento de los datos de carcter personal en todas sus fases,
desde el momento previo a la recogida de los mismos hasta que se cesa en su
tratamiento.
Con carcter previo a la recogida de los datos el responsable del fichero o

tratamiento debe tener en cuenta que, nicamente, podr recogerlos para su
tratamiento, as como someterlos al mismo, cuando sean adecuados,

pertinentes y no excesivos en relacin con el mbito y las finalidades

determinadas, explcitas y legtimas de su obtencin, estando prohibida su
recogida por medios fraudulentos, desleales o ilcitos.
El artculo 8 del RLOPD desarrolla los principios relativos a la calidad de los

datos. En concreto, en relacin con el momento previo al tratamiento de los
datos podemos destacar los principios de lealtad y licitud y finalidad. En
relacin con estos, no aade nada a lo ya dispuesto en la LOPD, recordando la
prohibicin de recoger datos por medios fraudulentos, desleales o ilcitos, as
como la nica circunstancia que legitima su recogida, es decir, el cumplimiento
de finalidades determinadas, explcitas y legtimas del responsable del
tratamiento.
1.3. La informacin al interesado
El artculo 5 de la LOPD establece uno de los principios fundamentales que,

junto al consentimiento, regir el tratamiento de los datos de carcter personal:
Derecho de informacin en la recogida de datos.
El derecho establecido en este principio a favor de los titulares de los datos se

convierte en una obligacin para los responsables de los ficheros, en virtud de
la cual tiene que informar al interesado, con carcter previo a la recogida de
sus datos de carcter personal sobre algunos aspectos relacionados con el
tratamiento de los datos, de manera que el interesado pueda tener la suficiente
informacin como para consentir el tratamiento de forma consciente y libre. El
legislador ha considerado, con buen criterio, que para ello es necesario
conocer:
La existencia de un fichero o tratamiento de datos de carcter personal.

La finalidad de la recogida de los datos.
Los destinatarios de la informacin.
El carcter obligatorio o facultativo de la respuesta a las preguntas
planteadas a los titulares de los datos.

Las consecuencias de la obtencin de los datos o la negativa a

suministrarlos.
La posibilidad de ejercitar los derechos de acceso, rectificacin,
cancelacin y oposicin.
La identidad y direccin del responsable del tratamiento o, en su caso,
de su representante.
Debemos plantearnos que no siempre los datos son recabados del propio
titular o interesado, de manera que analizaremos a continuacin las vas ms
habituales a travs de las cuales se obtienen datos personales para insertarlos
en un fichero:
Del propio interesado
Cuando los datos son recabados de sus titulares, habr que facilitar
directamente a los mismos la informacin detallada anteriormente.
De terceros
Cuando los datos hayan sido facilitados por persona distinta al titular de los
mismos, el responsable del fichero dispone de un plazo de tres meses desde el
momento del registro de los datos para facilitarle la informacin que le permita
consentir el tratamiento de sus datos de forma libre y consciente. Como
consecuencia, tendr que informarle del contenido del tratamiento, la
procedencia de los datos, la existencia de un fichero o tratamiento, la finalidad
para la que se han recabado los datos, los destinatarios de la informacin, la
posibilidad de ejercitar los derechos de acceso, rectificacin y oposicin, as
como de la identidad y direccin del responsable del tratamiento o su
representante. La propia LOPD estable excepciones a esta obligacin,
afirmando que no ser de aplicacin cuando:
A. El interesado ya hubiera sido informado con anterioridad.

B. Una Ley lo prevea expresamente. Es preciso aclarar esta excepcin,

ya que, en ocasiones nos encontramos con previsiones normativas que
no tienen rango de Ley en las que se prev el tratamiento o cesin de
datos de carcter personal o preceptos legales en los que la excepcin
del deber de informar no es fruto de la interpretacin literal del artculo,
ya que no se recoge expresamente. Para la correcta aplicacin de esta
excepcin han de darse dos requisitos: que la norma en la que se prev
el tratamiento o la cesin de datos tenga rango de Ley y, adems, que
dicho tratamiento o cesin haya sido recogido por el legislador de forma
expresa. As se desprende de un Informe emitido por la AEPD en el ao
20048, en el que concluye que la excepcin del artculo 5.5 a la que
venimos haciendo referencia ser aplicable a supuestos en que el
tratamiento o cesin de los datos de carcter personal aparece recogido
expresamente en una norma con rango de Ley, pero no a aquellos
supuestos en que la Ley autorice o habilite la cesin de datos, pero
no la recoja de modo expreso y taxativo en su articulado, sin perjuicio de
que en dichos supuestos la cesin se encontrar amparada por lo
dispuestos en los artculos 6.2 u 11.2 de la Ley Orgnica 15/1999 **.
C. El tratamiento tenga fines histricos, estadsticos o cientficos.
D. La informacin al interesado resulte imposible o exija esfuerzos

desproporcionados, a criterio de la AEPD o del organismo autonmico
equivalente, en consideracin al nmero de interesados, a la antigedad
de los datos y a las posibles medidas compensatorias. Esta excepcin
slo ser posible a travs de un acto administrativo de la AEPD en que
se decida acerca de la procedencia o improcedencia de la excepcin
alegada en cada caso concreto. Dicho acto implicar la tramitacin del
**
En el mismo sentido se pronunci la AEPD en una resolucin de 8 de octubre de 2004: El artculo 5.5.
tambin excepta de la obligacin de informar cuando expresamente una Ley lo Prevea. De la
interpretacin literal del artculo resultara que la obligacin de informar debe estar expresamente
exceptuada en una Ley para que se cumplan las condiciones previstas en este supuesto. Sin embargo la
Directiva 95/46/CE, que ha sido transpuesta por la Ley 15/1999, en su artculo 11.2 especifica que no
existe el deber de informar en particular para el tratamiento con fines estadsticos o de investigacin
histrica o cientfica, cuando la informacin al interesado resulte imposible o exija esfuerzos
desproporcionados o el registro o la comunicacin a un tercero estn expresamente previstos por ley, por
lo que ha de interpretarse este supuesto de exclusin en los trminos previstos en la Directiva, quedando
excluida la obligacin de informar cuando la cesin est expresamente prevista en una Ley.

correspondiente procedimiento administrativo, iniciado en todo caso por

la propia solicitud del interesado.
De fuentes de acceso pblico
Quizs convenga empezar preguntndose qu son fuentes de acceso pblico.

Estas se encuentran definidas en el artculo 3.j) de la LOPD como aquellos
ficheros cuya consulta puede ser realizada por cualquier persona, no impedida
por una norma limitativa o sin ms exigencia que, en su caso, el abono de una
contraprestacin. Son, exclusivamente:
El censo promocional.
Las guas de telfonos.
Las listas de colegios profesionales que contengan nicamente los datos
de nombre, ttulo, profesin, actividad, grado acadmico, direccin
profesional e indicacin de su pertenencia al grupo.
El RLOPD, en su artculo 7 determina el alcance de las siguientes
expresiones:
- Direccin profesional: podr incluir los datos del domicilio postal
completo, nmero telefnico, nmero de fax y direccin
electrnica.
- Datos de pertenencia al grupo: considera como tales los de
nmero de colegiado, fecha de incorporacin y situacin de
ejercicio profesional.
Los diarios y boletines oficiales.
Los medios de comunicacin social.
Vid. AEPD, Informe Jurdico2002-0000 Procedimiento para la exencin del deber de informar, https://
212.170.242.196/portalweb/canaldocumentacion/informes_juridicos/deber_informacion/common/pdfs/
2002-0000_Procedimiento-para-la-exenci-oo-n-del-deber-de-informar.pdf

Se han planteado muchas dudas sobre si Internet es una fuente de acceso

pblico. Con base en la definicin, nicamente, podramos considerarlo como
tal si se encontrara incluido dentro de los medios de comunicacin, pero a da
de hoy los nicos medios de comunicacin legalmente reconocidos son la
prensa, la radio y la televisin. Como consecuencia de ello, podemos afirmar
que Internet, como tal, no es una fuente de acceso pblico.
No obstante, a travs de Internet podemos acceder a fuentes de acceso

pblico. Por ejemplo, la lista de los profesionales pertenecientes a un colegio
profesional no dejar de ser fuente de acceso pblico si accedemos a los datos
a travs de la pgina web del mismo. La AEPD ha confirmado esta
interpretacin, afirmando que Internet no es, a los efectos de proteccin de
datos un medio de comunicacin social, sino un canal de comunicacin, por
lo que no es fuente accesible al pblico.
Cuando los datos recabados en un fichero proceden de estas fuentes, el

responsable tiene que informar al interesado de la procedencia de sus datos, la
identidad y direccin del responsable del fichero o tratamiento y de la
posibilidad de ejercitar sus derechos de acceso, rectificacin, cancelacin y
oposicin. Informacin que acompaar cada comunicacin que el responsable
le realice.
En relacin con el censo promocional o las listas de personas pertenecientes a

grupos de profesionales, establece la LOPD (artculo 28) la limitacin de incluir
en dichas fuentes los datos estrictamente necesarios para cumplir la finalidad a
que se destina cada listado, de manera que la inclusin de datos adicionales
por las entidades responsables del mantenimiento de las mismas requerir el
consentimiento del interesado, que podr ser revocado en cualquier momento.
Adems, la LOPD establece los siguientes derechos a favor de los interesados:

Respecto de los datos que consten en el censo promocional, a exigir
gratuitamente la exclusin de la totalidad de los mismos por las
entidades encargadas de su mantenimiento.
Vid. AEPD, I Sesin Anual Abierta de la AEPD El nuevo reglamento de desarrollo de la ley orgnica de
proteccin de datos: problemtica, interpretacin y aplicacin, Madrid, 22 de abril de 2008, https://
www.agpd.es/portalweb/jornadas/1_sesion_abierta/common/faqs_bloque_1.pdf.

En relacin con los listados de los colegios profesionales, a que la

entidad responsable de su mantenimiento indique gratuitamente que sus
datos personales no podrn ser utilizados para fines de publicidad o
prospeccin comercial.
La atencin a la solicitud de exclusin de la informacin innecesaria o de

inclusin de la objecin al uso de los datos para fines de publicidad o venta a
distancia deber realizarse en el plazo de diez das respecto de las
informaciones que se realicen mediante consulta o comunicacin telemtica y
en la siguiente edicin del listado cualquiera que sea el soporte en que se
edite.
Las fuentes de acceso pblico que se editen en forma de libro o algn otro
soporte fsico, perdern el carcter de fuente accesible con la nueva edicin
que se publique y, en el caso de que se obtenga telemticamente una copia de
la lista en formato electrnico, en el plazo de un ao, contado desde el
momento de su obtencin.
Una vez tratada la informacin que debemos facilitar al titular de los datos en
los supuestos ms habituales de recogida de los mismos, podemos avanzar un
poco ms profundizando de forma muy somera pero clarificadora los extremos
que, por resultar menos precisos o haber sido expresados de una forma muy
genrica por el legislador, pueden dar lugar a dudas o interpretaciones
errneas.
En principio, parece que no tiene porqu generar problema alguno informar

acerca de la identidad y direccin del responsable del tratamiento o su
representante, la existencia de un fichero o tratamiento de datos de carcter
personal, el carcter obligatorio o facultativo de la respuesta a las preguntas
planteadas por el titular de los datos, las consecuencias de la obtencin de los
datos o la negativa a suministrarlos o la posibilidad de ejercitar los derechos de
acceso, rectificacin, cancelacin u oposicin.
Por el contrario, consideramos oportuno desarrollar las siguientes expresiones

en aras a aportar una mayor claridad en relacin con la intencin del legislador.

La finalidad de la recogida de los datos
Cuando el responsable de un fichero recaba datos para una finalidad

especfica, seguramente no le plantee ningn problema informar sobre la
misma. No obstante, en la vida comercial, empresarial o profesional, no son
pocos los casos en los que resulta muy importante para el responsable del
fichero el uso de los datos para finalidades que exceden de una finalidad
especfica y fcil de definir. Desde que se ha establecido la relacin inicial con
el titular de los datos, lo ms habitual y con tendencia ascendente, es que el
responsable del fichero desee utilizar los datos con finalidades diferentes a la
inicial. Entre las ms comunes se encuentran la fidelizacin de clientes -basada
en acciones como el envo de felicitaciones en fechas tan sealadas como
Navidad, Ao Nuevo o cumpleaos-, ofrecer otros productos o servicios que
puedan resultar de inters -a travs de campaas comerciales-, valorar la
calidad de los productos o servicios prestados -utilizando encuestas de calidad
o satisfaccin-, enviar revistas informativas destinadas a lectores con un perfil
predeterminado y hacer estudios de mercado de los gustos de los clientes.
Para el uso de los datos facilitados inicialmente con todas estas finalidades, lo
que permitira al responsable del fichero sacar un mayor aprovechamiento del
mismo, traducido normalmente en un mayor beneficio econmico, resulta
imprescindible haber informado correctamente. Es a la hora de informar del uso
de los datos para todas estas finalidades cuando el responsable del fichero
puede encontrarse con problemas, principalmente, que el interesado se niegue
a facilitar sus datos.
La experiencia nos ha aportado soluciones prcticas para solventar este

problema, basadas en la redaccin de clusulas que, sin saltar las fronteras de
lo legtimo, nos permiten ampliar y generalizar la finalidad para la que se
recaban los datos.
Los destinatarios de la informacin
A medida que evoluciona la industria, el comercio e, incluso, la prestacin de

servicios por los profesionales, se extiende la colaboracin con diversas
personas, empresas o entidades en el desarrollo de un objeto social o actividad

legtima, fruto de la necesidad de recurrir a personas o empresas

especializadas para cubrir carencias propias o abordar proyectos de mayor
envergadura a la que una sola compaa puede hacer frente. En numerosas
ocasiones, estas colaboraciones llevan implcita la necesidad de facilitar datos
de carcter personal que constan en un fichero propio.
Si la LOPD no obligara a informar previamente al titular de los datos de los

destinatarios de los mismos, correramos el grave riesgo de que esto se
convirtiera en una cadena de cesiones desconocidas para el afectado,
rompindose de este modo su posibilidad de decisin acerca del tratamiento de
sus datos personales, quebrando el derecho a la proteccin de los mismos. El
ejemplo ms claro en el que se producen constantemente este tipo de cesiones
es entre las empresas pertenecientes a un mismo grupo.
No obstante, tal y como ha ocurrido con la finalidad de la recogida de los datos,

en la prctica se han desarrollado soluciones que permiten que no resulte
necesario dar una informacin detallada de cada destinatario de los datos que
puede llegar a intervenir en el tratamiento de los mismos -nombre o razn
social-, resultando suficiente informar acerca de la categora de los
destinatarios de la informacin y la finalidad de las cesiones.
Esta posibilidad se ha visto reforzado por el RLOPD, en el que el legislador ha

manifestado de forma expresa que:
Cuando se solicite el consentimiento del afectado para la cesin de sus datos,

ste deber ser informado de forma que conozca inequvocamente la finalidad
a la que se destinarn los datos respecto de cuya comunicacin se solicita el
consentimiento y el tipo de actividad desarrollada por el cesionario. En caso
contrario, el consentimiento ser nulo.
Forma que se debe adoptar para facilitar la informacin y acreditacin del

cumplimiento del deber de informar
Artculo 12.2 RLOPD

La LOPD no impone a los responsables de ficheros o tratamientos forma

alguna para facilitar al titular de los datos la informacin necesaria para el
tratamiento de los mismos.
Lo ms habitual y sencillo, a priori, es utilizar el mismo medio que se utiliza

para la recogida de los datos tambin para facilitar la informacin. Si nos
trasladamos a la prctica podemos afirmar que los sistemas de recogida de
datos utilizados ms frecuentemente son:
Oralmente. En principio, teniendo en cuenta que la LOPD no

impone a los responsables de ficheros o tratamientos forma
alguna para informar al titular de los datos, sera suficiente con
prestarlo de forma oral. Una alternativa es la colocacin de
carteles informativos en un lugar visible para las personas que
facilitan los datos.
A travs de formularios. El artculo 5.2 de la LOPD establece
expresamente que cuando se usen formularios o impresos para la
recogida, figurar en los mismos la informacin necesaria, en
forma claramente legible.
Contratos. Si el titular de los datos firma un contrato se debe
incluir en el mismo la informacin relativa al tratamiento de sus
datos.
Telefnicamente. Podra proporcionarse la informacin por el
mismo medio, pero otra alternativa es enviar una comunicacin
posterior, aprovechando por ejemplo la entrega del producto
adquirido por telfono.
En la prctica, se vena recomendando adoptar siempre medios que permitan

disponer de una prueba del cumplimiento de dicha obligacin con fundamento
en un Informe jurdico de la AEPD***.
***
Vid. AEPD, Informe Jurdico 0111/2005 Prueba en relacin con el cumplimiento del deber de
informacin, https://www.agpd.es/portalweb/canaldocumentacion/informes_juridicos/deber_informacion/index-ides-idphp.php.

De este modo, a efectos de la Ley, ser necesario que el responsable del

tratamiento acredite la realizacin del envo, lo que sera posible tanto en el
caso de que el envo se realice por el propio consultante como en caso de que
el mismo se encomiende a una tercera empresa, que se certifique de algn
modo la efectiva realizacin de los envos, y exista un principio de prueba de
que el envo efectivamente realizado ha llegado a su destino, lo que podra
conseguirse, por ejemplo, mediante el acceso a las listas de devoluciones del
servicio de correos.
El RLOPD -artculo 18- ha regulado de forma novedosa la acreditacin del

deber de informar, estableciendo el deber de utilizar un medio que permita
acreditar su cumplimiento, debiendo conservarse mientras persista el
tratamiento de los datos del afectado. Asimismo, el responsable deber
conservar el soporte en el que conste el cumplimiento del deber de informar,
pudiendo utilizar medios informticos o telemticos para el almacenamiento de
los soportes. Aade el legislador que, en particular podr proceder al
escaneado de la documentacin en soporte papel, siempre y cuando se
garantice que en dicha automatizacin no ha mediado alteracin alguna de los
soportes originales.
La informacin dirigida a los menores de edad
Cuando el tratamiento se refiera a datos de menores de edad, la informacin

dirigida a los mismos deber expresarse en un lenguaje que sea fcilmente
comprensible por aquellos.

Supuestos especiales
El artculo 19 del RLOPD ha introducido como novedad lo siguiente:
En los supuestos en que se produzca una modificacin del responsable del

fichero como consecuencia de una operacin de fusin, escisin, cesin global
de activos y pasivos, aportacin o transmisin de negocio o rama de actividad
empresarial, o cualquier operacin de reestructuracin societaria de anloga
naturaleza, contemplada por la normativa mercantil, no se producir cesin de
datos, sin perjuicio del cumplimiento por el responsable de lo dispuesto en el
artculo 5 de la Ley Orgnica 15/1999, de 13 de diciembre.
Consecuencia de ello, podemos afirmar que en los supuestos indicados en el

precepto trascrito, habr que informar al titular de los datos de los nuevos
destinatarios de la informacin, adquiriendo tambin especial importancia la
informacin relativa a la finalidad, dado que en principio, el tratamiento debe
limitarse a la finalidad para la que se consinti inicialmente y sta slo podr
ampliarse en el caso de que se facilite la informacin acerca de nuevas
finalidades y el afectado consienta el tratamiento de sus datos para las mismas.
1.4. El consentimiento del interesado
El principio del consentimiento del interesado, establecido en el artculo 6 de la

LOPD, constituye una de las obligaciones principales en materia de proteccin
de datos. Como norma general, el tratamiento de los datos de carcter
personal requerir el consentimiento inequvoco del afectado. Antes de seguir
adelante, resulta conveniente detenerse en la definicin de consentimiento del
interesado, recogida en el artculo 3.K) de la LOPD: toda manifestacin de
voluntad libre, inequvoca, especfica e informada, mediante la que el
interesado consienta el tratamiento de datos personales que le conciernen y
analizar el significado de libre, inequvoco, especfico en informado. Para ello,
nada mejor que recurrir a la interpretacin de la AEPD, expresada en un
Informe jurdico emitido en el ao 2000.

Libre. Supone que el mismo deber haber sido obtenido sin la

intervencin de vicio alguno del consentimiento en los trminos
regulados por el Cdigo Civil.
Especfico. Referido a una determinada operacin de tratamiento y para

una finalidad determinada, explcita y legtima del responsable del
tratamiento.
Inequvoco. Implica que no resulta admisible deducir el consentimiento

de los meros actos realizados por el afectado (consentimiento presunto),
siendo preciso que exista expresamente una accin u omisin que
implique la existencia del consentimiento.
Informado. Requiere que el afectado conozca con anterioridad al

tratamiento la existencia del mismo y las finalidades para las que el
mismo se produce. Precisamente por ello, el artculo 5.1 de la LOPD
impone el deber de informar a los interesados de una serie de extremos
que en el mismo se contienen. De este modo, el consentimiento se
encuentra ntimamente relacionado con la informacin para la recogida
de los datos, ya que para que se cumplan los requisitos del mismo el
responsable del fichero o tratamiento debe informar previa y
correctamente al titular de los datos de la existencia del fichero o
tratamiento y de las finalidades para las que se destinarn los datos.
Como consecuencia de ello, la solicitud de consentimiento debe referirse
a un tratamiento o serie de tratamientos concretos, con delimitacin de
la finalidad para la que se recaban los datos y las restantes condiciones
que concurran en el tratamiento o serie de tratamientos. As lo ha
recogido el RLOPD en su artculo 12.1.
No obstante, la propia LOPD establece excepciones a la obligacin de obtener

el consentimiento para el tratamiento de los datos de carcter personal, en
concreto:
A. Que la Ley disponga otra cosa.

B. Que los datos de carcter personal se recojan para el ejercicio de las

funciones propias de las Administraciones Pblicas en el mbito de sus
competencias.
C. Que los datos se refieran a las partes de un contrato o precontrato de

una relacin comercial, laboral o administrativa y sean necesarios para
su mantenimiento o cumplimiento.
D. Que el tratamiento de los datos tenga por finalidad proteger un inters

vital del interesado, cuando dicho tratamiento resulte necesario para la
prevencin o el diagnstico mdicos, la prestacin de asistencia
sanitaria dicho tratamiento de datos se realice por un profesional
sanitario sujeto al secreto profesional o por otra persona sujeta asimismo
a una obligacin equivalente de secreto.
E. Que los datos figuren en fuentes accesibles al pblico y su

tratamiento sea necesario para la satisfaccin del inters legtimo
perseguido por el responsable del fichero o por el del tercero a quien se
comuniquen los datos, siempre que no se vulneren los derechos y
libertades fundamentales del interesado.
En estos casos, en los que no sea necesario el consentimiento del afectado

para el tratamiento de los datos de carcter personal y, siempre que una Ley
no disponga lo contrario, la LOPD concede al mismo la posibilidad de oponerse
a su tratamiento cuando existan motivos fundados y legtimos relativos a una
concreta situacin personal.
Revocacin del consentimiento
El derecho del titular de los datos a revocar el consentimiento prestado para

el tratamiento de sus datos ha sido reconocido por el legislador en la LOPD, a
travs de los artculos 6.3, en el que se recoge expresamente este derecho y
16.1, en el que se establece la obligacin para el responsable del tratamiento
de hacer efectivo el derecho del titular de los datos a que sean cancelados, lo
Art. 6.3 de la LOPD: El consentimiento a que se refiere el artculo podr ser revocado cuando exista
causa justificada para ello y no se le atribuyan efectos retroactivos

que conlleva la imposibilidad para el responsable de continuar en el tratamiento

consentido anteriormente.
Asimismo, en el artculo 11.4 se reconoce expresamente el derecho del titular

de los datos a revocar el consentimiento prestado para la cesin de los
mismos.
El RLOPD -artculo 17- ha desarrollado la revocacin del consentimiento en

relacin con la forma de llevarlo a cabo, estableciendo la posibilidad de
realizarlo a travs de un medio sencillo, gratuito y que no implique ingreso
alguno para el responsable del fichero o tratamiento. En concreto, reconoce
como medios adecuados un envo franqueado al responsable del tratamiento o,
incluso, la llamada a un nmero de telfono gratuito o a los servicios de
atencin al pblico establecidos por el mismo.
Por el contrario, no se considerarn conformes a lo dispuesto en la LOPD, los

supuestos en que el responsable establezca como medio para que el
interesado pueda manifestar su negativa al tratamiento el envo de cartas
certificadas o envos semejantes, la utilizacin de servicios de
telecomunicaciones que implique una tarificacin adicional al afectado o
cualesquiera otros medios que impliquen un coste adicional al interesado.
Las consecuencias que implica la revocacin del consentimiento para el

responsable del tratamiento se detallan a continuacin:
Cesar en el tratamiento de los datos del interesado en un plazo mximo

de diez das a contar desde la fecha de la recepcin de la revocacin.
Si el interesado hubiera solicitado la confirmacin del cese en el
tratamiento de sus datos, deber responder expresamente a la solicitud.
Si los datos hubieran sido cedidos previamente, deber comunicar la
revocacin del consentimiento a los cesionarios, en el plazo indicado en
el punto anterior, para que stos cesen en el tratamiento de los datos en
caso de que an lo mantuvieran.
Art. 11.4 de la LOPD: El consentimiento para la comunicacin de los datos de carcter personal tiene
tambin un carcter revocable.

Forma de prestar el consentimiento
Teniendo en cuenta que la LOPD establece la necesidad de manifestar el

consentimiento de forma expresa y por escrito, nicamente, para el tratamiento
de algunos tipos de datos, podemos afirmar que, como norma general, admite
el consentimiento tcito. Dentro del consentimiento inequvoco que exige para
el tratamiento de los datos de carcter personal, distingue tres categoras de
consentimiento en funcin de los datos objeto de tratamiento:
Tcito. Suficiente para el tratamiento de todos los datos, salvo los

especialmente protegidos -ideologa, afiliacin sindical, religin,
creencias, origen racial, salud y vida sexual-. En este sentido se ha
pronunciado la AEPD en un informe jurdico reciente afirmando que:
El consentimiento, salvo cuando el tratamiento se refiera a los datos
especialmente protegidos, regulados por el artculo 7 de la Ley Orgnica,
podr obtenerse de forma expresa o tcita, es decir, tanto como
consecuencia de una afirmacin especfica del afectado en ese sentido,
como mediante la falta de una manifestacin contraria al tratamiento, para
la que se hayan concedido mecanismos de fcil adopcin por el afectado y
un tiempo prudencial para dar la mencionada respuesta negativa.
Expreso. En funcin de lo establecido en el artculo 7.2 de la LOPD, los

datos de carcter personal que revelan la ideologa, afiliacin sindical,
religin y creencias del afectado slo podrn ser tratados con su
consentimiento expreso y por escrito, salvo en los casos de ficheros
mantenidos por los partidos polticos, sindicatos, iglesias, confesiones o
comunidades religiosas y asociaciones, fundaciones y otras entidades
sin nimo de lucro, cuya finalidad sea poltica, filosfica, religiosa o
sindical, en cuanto a los datos relativos a sus asociados o miembros.
Vid. AEPD, Informe Jurdico 93/2008 Formas de obtener el consentimiento mediante web:
Consentimientos tcitos, https://www.agpd.es/portalweb/canaldocumentacion/informes_juridicos/
consentimiento/index-ides-idphp.php.

Expreso y por escrito. Los datos de carcter personal que hagan

referencia al origen racial, a la salud y a la vida sexual slo podrn ser
recabados, tratados y cedidos cuando, por razones de inters general,
as lo disponga una Ley o el afectado consienta expresamente. As se
desprende del artculo 7.2 de la LOPD.
Teniendo en cuenta que corresponde al responsable del tratamiento la prueba

de la existencia del consentimiento del titular de los datos para su tratamiento,
por cualquier medio de prueba admisible en derecho, a pesar de no resultar
necesario, lo ms recomendable es disponer del consentimiento expreso y por
escrito.
El responsable del tratamiento podr solicitar el consentimiento del interesado

para el tratamiento de sus datos de carcter personal a travs del
procedimiento establecido en el artculo 14 del RLOPD, salvo cuando la Ley
exija al mismo la obtencin del consentimiento expreso para el tratamiento de
los datos, en virtud del cual, una vez que el responsable ha informado al
afectado, deber concederle un plazo de treinta das para manifestar su
negativa al tratamiento, advirtindole de que en caso de no pronunciarse a tal
efecto se entender que consiente el tratamiento de sus datos de carcter
personal. En concreto, cuando se trate de responsables que presten al
afectado un servicio que genere informacin peridica o reiterada, o facturacin
peridica, la comunicacin podr llevarse a cabo de forma conjunta a esta
informacin o a la facturacin del servicio prestado, siempre que se realice de
forma claramente visible.
En todo caso, ser necesario que el responsable del tratamiento pueda

conocer si la comunicacin ha sido objeto de devolucin por cualquier causa,
en cuyo caso no podr proceder al tratamiento de los datos referidos a ese
interesado.
Finalmente, el RLOPD establece que cuando se solicite el consentimiento del

interesado a travs de este procedimiento, no ser posible solicitarlo
nuevamente respecto de los mismos tratamientos y para las mismas
finalidades en el plazo de un ao a contar desde la fecha de la anterior
solicitud.

Consentimiento para el tratamiento de los datos de menores de edad
Una novedad importante del RLOPD es la regulacin del consentimiento para

el tratamiento de los datos de menores de edad -ya que nada se regula al
respecto en la LOPD-, estableciendo la edad de catorce aos para poder
consentir en el tratamiento de los datos de carcter personal, salvo en aquellos
casos en los que la Ley exija para su prestacin la asistencia de los titulares de
la patria potestad o tutela. En el caso de los menores de catorce aos se
requerir el consentimiento de los padres o tutores.
No obstante, se establece una limitacin para el responsable del fichero o

tratamiento en relacin con los datos que se pueden obtener del menor, ya que
en ningn caso podrn recabarse a travs de este datos que permitan obtener
informacin sobre los dems miembros del grupo familiar o las caractersticas
del mismo, como los datos relativos a la actividad profesional de los
progenitores, informacin econmica, datos sociolgicos o cualesquiera otros,
sin el consentimiento de los titulares de tales datos. nicamente podrn
recabarse los datos de identidad y direccin del padre, madre o tutor con la
nica finalidad de recabar la autorizacin de los mismos para el tratamiento de
los datos.
Finalmente, se impone al responsable del fichero o tratamiento la obligacin de

articular los procedimientos que garanticen que se ha comprobado de modo
efectivo la edad del menor y la autenticidad del consentimiento prestado en su
caso, por los padres, tutores o representantes legales. En algunos supuestos,
como el de obtencin de los datos a travs de una pgina web, parece difcil
articular un sistema que permita al responsable disponer de esta garanta. Para
este caso concreto la AEPD ha propuesto y admitido como vlida la opcin de
poner una casilla en la que se deba indicar la edad en la que resulte imposible
introducir una fecha ms antigua a dieciocho aos desde la fecha****.
****
www.agpd.es/portalweb/jornadas/1_sesion_abierta/index-ides-idphp.php.

2.1. La calidad de los datos
De nuevo est presente el principio de calidad de los datos que, si bien no se

puede olvidar en ninguna de las fases en las que hemos dividido el tratamiento
de los mismos, adquiere especial relevancia en este momento.
En virtud de lo establecido en el artculo 4 de la LOPD, los datos personales:
A) No pueden usarse para finalidades incompatibles con aquellas para las

que se han recogido
B) Tienen que ser exactos y puestos al da, de forma que respondan con
veracidad a la situacin actual de su titular y
C) Tienen que ser almacenados de forma que permitan el ejercicio del
derecho de acceso.
El uso de los datos en relacin con la finalidad para la que se obtuvieron. En

virtud de lo establecido en el artculo 4 de la LOPD, los datos de carcter
personal objeto de tratamiento no pueden usarse para finalidades
incompatibles con aquellas para las que los datos hubieran sido recogidos y no
se considerarn como tales el tratamiento posterior de stos con fines
histricos, estadsticos o cientficos.
Despus de esta afirmacin, parece casi inevitable detenerse a analizar la

expresin finalidades incompatibles, utilizada por primera vez en la LOPD,
suponiendo un cambio de redaccin respecto del artculo 4 de la LORTAD, en
el que se estableca que los datos no podran usarse para finalidades distintas
a aquellas para las que hubieran sido recogidos. La utilizacin del trmino
incompatibles puede suponer un peligro para el respeto al derecho a la
proteccin de datos por parte de los responsables de los ficheros y
tratamientos, ya que interpretando el trmino incompatible en su sentido
estricto, pocas finalidades resultaran incompatibles con aquella para la que se
obtuvieron los datos.

Debemos seguir interpretando este principio como la imposibilidad de uso de

datos para finalidades distintas, tal y como se recoga en la LORTAD, ya que
as lo ha interpretado el Tribunal Constitucional, en su Sentencia 292/2000, de
30 de noviembre, que viene a identificar el citado trmino con fines distintos.
As, dispone la citada sentencia en su Fundamento Jurdico 5 que La garanta

de la vida privada de la persona y de su reputacin poseen hoy una dimensin
positiva que excede el mbito propio del derecho fundamental a la intimidad
(art. 18.1 CE), y que se traduce en un derecho de control sobre los datos
relativos a la propia persona. La llamada libertad informtica es as derecho
a controlar el uso de los mismos datos insertos en un programa informtico
(habeas data) y comprende, entre otros aspectos, la posicin del ciudadano
a que determinados datos personales sean utilizados para fines distintos de
aquel legtimo que justific su obtencin (SSTC 11/1998, F. 5, 94/1998, F. 4).
Asimismo, la sentencia vuelve a interpretar este precepto cuando indica que la

cesin de los mismos (datos) a un tercero para proceder a un tratamiento con
fines distintos de los que originaron su recogida, aun cuando puedan ser
compatibles con stos (art. 4.2 LOPD), supone una nueva posesin y uso que
requiere el consentimiento del interesado.
La AEPD reproduce esta interpretacin en su informe jurdico 0078/2005:

Tratamiento de datos para fines incompatibles.
Este argumento es reiterado en el posterior Fundamento Jurdico 14.
Vid. AEPD, Informe Jurdico 0078/2005 Tratamiento de datos para fines incompatibles, https://
www.agpd.es/portalweb/canaldocumentacion/informes_juridicos/consentimiento/index-ides-idphp.php.

La propia LOPD afirma que no se considerar incompatible el tratamiento

posterior de los datos con fines histricos, estadsticos o cientficos y el artculo
9 RLOPD desarrolla el tratamiento de los datos con estos fines, estableciendo
que para la determinacin de los mismos se estar a la legislacin que en cada
caso resulte aplicable y, en particular, a lo dispuesto en la Ley 12/1989, de 9 de
mayo, Reguladora de la funcin estadstica pblica, la Ley 16/1985, de 25
junio, del Patrimonio histrico espaol y la Ley 13/1986, de 14 de abril de
Fomento y coordinacin general de la investigacin cientfica y tcnica y sus
respectivas disposiciones de desarrollo, as como a la normativa autonmica en
estas materias.
Exactitud de los datos
Los datos de carcter personal objeto de tratamiento tienen que ser exactos y
puestos al da de forma que respondan con veracidad a la situacin actual de
su titular, de manera que si los datos registrados resultan inexactos, en todo o
en parte, o incompletos, el responsable del fichero o tratamiento se ver
obligado a cancelarlos y sustituirlos de oficio por los correspondientes datos
rectificados o completados.
Ejercicio del derecho de acceso
Los datos de carcter personal tienen que ser almacenados de forma que
permitan el ejercicio del derecho de acceso, salvo que sean legalmente
cancelados. Este derecho ser desarrollado en el apartado 5.4.1.
La Jurisprudencia ha tenido ocasin de analizar el alcance de este principio en las siguientes sentencias:
Sentencia de la Sala de lo Contencioso Administrativo de la Audiencia Nacional, de 6 de julio de 2001;
Sentencia de la Seccin Novena de la Sala de lo Contencioso Administrativo del Tribunal Superior de
Justicia de Madrid, de 5 de noviembre de 1998; Sentencia de la Seccin Octava de la Sala de lo
Contencioso Administrativo del Tribunal Superior de Justicia de Madrid, de 18 de octubre de 2000;
Sentencia de la Seccin Octava de la Sala de lo Contencioso Administrativo del Tribunal Superior de
Justicia de Madrid, de 26 de mayo de 1999; Sentencia de la Sala de lo Contencioso Administrativo de la
Audiencia Nacional, de 19 de enero de 2001; Sentencia de la Seccin Octava de la Sala de lo Contencioso
Administrativo del Tribunal Superior de Justicia de Madrid, de 9 de febrero de 2000; Sentencia de la Sala
de lo Contencioso Administrativo de la Audiencia Nacional, de 9 de marzo de 2001.

2.2. El deber de secreto
El deber de secreto es uno de los principios bsicos en materia de proteccin

de datos de carcter personal, establecido en el artculo 10 de la LOPD.
Al margen del deber de secreto profesional establecido en relacin con algunas

profesiones, tales como la abogaca o la medicina, la LOPD establece una
obligacin de guardar secreto que afecta, no slo al responsable del fichero,
sino a todas las personas que intervienen en cualquier fase del tratamiento de
los datos de carcter personal, con independencia de la actividad profesional
de cada una de ellas. En concreto, establece el sometimiento al secreto
profesional respecto de los datos de carcter personal y al deber de guardarlos.
Al margen de las sanciones en materia de proteccin de datos en las que

pudiera derivar la vulneracin de este principio, es importante tener en cuenta
que la revelacin de secretos se encuentra tipificada como delito en el Cdigo
Penal -artculos 197 a 200-, castigando el apoderamiento, utilizacin o
modificacin de datos de carcter personal o familiar de un tercero que se
encuentren registrados en ficheros o soporte informticos, electrnicos o
telemticos o en cualquier otro tipo de archivo o registro pblico o privado, sin
autorizacin y en perjuicio de tercero.
Del mismo modo, se castiga a los que accedan a los mismos por cualquier
medio, sin autorizacin, as como a quien los altere o utilice en perjuicio del
titular de los datos o de un tercero.
Para evitar sanciones de la AEPD como consecuencia de la vulneracin de

este principio por parte de los usuarios de los datos, se recomienda al
responsable del fichero o tratamiento establecer por escrito una poltica de
informacin y formacin con el objetivo de ponerles en conocimiento de sus
funciones y obligaciones en materia de proteccin de datos personales.

2.3. La seguridad de los datos
Este principio, establecido en el artculo 9 de la LOPD, impone al responsable

del fichero, todos los posibles encargados del tratamiento y todas las personas
que intervienen en el mismo, la obligacin de adoptar las medidas de ndole
tcnica y organizativas necesarias que garanticen la seguridad de los datos de
carcter personal y eviten su alteracin, prdida, tratamiento o acceso no
autorizado, habida cuenta del estado de la tecnologa, la naturaleza de los
datos almacenados y los riesgos a que estn expuestos, ya provengan de la
accin humana o del medio fsico o natural. De este modo, no se podrn
registrar datos de carcter personal en ficheros que no renan las condiciones
determinadas por el RLOPD con respecto a su integridad y seguridad y a las de
los centros de tratamiento, locales, equipos, sistemas y programas.
El RLOPD dedica todo su Ttulo VIII al desarrollo de las medidas de seguridad

en el tratamiento de datos de carcter personal, estableciendo unas
disposiciones generales -relativas a todos los ficheros o tratamientos de datos
de carcter personal, independientemente del soporte en el que se encuentren-
y las medidas de seguridad aplicables con carcter especfico a los ficheros y
tratamientos automatizados y manuales, respectivamente.
Las medidas de seguridad exigibles a los ficheros y tratamientos se clasifican

en tres niveles (bsico, medio y alto), definidos en funcin del tipo de datos
contenidos en dichos ficheros o sometidos a tratamiento.
Las medidas incluidas en cada uno de estos niveles tienen la condicin de

mnimos exigibles, sin perjuicio de las disposiciones legales o reglamentarias
especficas vigentes que pudieran resultar de aplicacin en cada caso o las que
por propia iniciativa adoptase el responsable del fichero.

A. Nivel bsico.
Todos los ficheros o tratamientos de datos de carcter personal debern

adoptar las medidas de seguridad calificadas de nivel bsico.
Las medidas de seguridad aplicables para los ficheros y tratamiento de datos

de nivel bsico son las que se detallan a continuacin:
1. Para todos los ficheros (automatizados o no).
1.a. Personal.
Definir las funciones y obligaciones de los diferentes usuarios o
de los perfiles de usuarios.
Definir las funciones de control y las autorizaciones delegadas por
el responsable.
Difundir entre el personal, de las normas que les afecten y las
consecuencias por su incumplimiento.
1.b. Incidencias.
Llevar un registro de incidencias en el que se detalle: tipo,

momento de su deteccin, persona que la notifica, efectos y
medidas correctoras.
Elaborar un procedimiento de notificacin y gestin de las
incidencias.
1.c. Control de acceso.
Disponer de una relacin actualizada de usuarios y accesos

autorizados.
Controlar los accesos permitidos a cada usuario segn las
funciones asignadas.
Implantar mecanismos que eviten el acceso a datos o recursos
con derechos distintos de los autorizados.
Conceder permisos de acceso slo el personal autorizado.

Adoptar las mismas medidas para personal ajeno con acceso a

los recursos de datos.
1.d. Gestin de soportes.
Crear un inventario de soportes.

Identificar el tipo de informacin que contienen los soportes.
Restringir el acceso al lugar de almacenamiento de los soportes.
Autorizar las salidas de soportes (incluidas a travs de e-mail).
Implantar medidas para el transporte y el desecho de soportes.
2. Solo para ficheros automatizados.
2.a. Identificacin y autenticacin.
Implantar mecanismos de identificacin y autenticacin

personalizada de los usuarios.
Crear un procedimiento de asignacin y distribucin de
contraseas.
Almacenar las contraseas de forma ininteligible.
Cambiar las contraseas con una periodicidad mnima de 1 ao.
2.b. Copias de respaldo.

Hacer una copia de respaldo semanal.
Establecer procedimientos de generacin de copias de respaldo y
recuperacin de datos.
Verificar semestralmente los procedimientos.
Reconstruir los datos a partir de la ltima copia o grabarlos
manualmente en su caso, si existe documentacin que lo permita.
Realizar copia de seguridad y aplicar el nivel de seguridad
correspondiente, si se realizan pruebas con datos reales.
3. Solo para ficheros no automatizados.

3.a. Criterios de archivo.
El archivado de documentos debe realizarse segn criterios que

faciliten su consulta y localizacin para garantizar el ejercicio de
los derechos de acceso, rectificacin, cancelacin y oposicin.
3.b. Almacenamiento.
Dotar a los dispositivos de almacenamiento de mecanismos que

obstaculicen su apertura.
3.c. Custodia de soportes.
Establecer criterios de diligente y custodia de la documentacin

por parte de la persona a cargo de la misma, durante su revisin
tramitacin, para evitar accesos no autorizados.
B. Nivel medio.
Adems de las medidas de seguridad de nivel bsico, debern implantarse las

de nivel medio, en los siguientes ficheros o tratamientos de datos de carcter
personal:
Los relativos a la comisin de infracciones administrativas o

penales.
Los relacionados con la prestacin de servicios de informacin
sobre solvencia patrimonial y crdito.
Aquellos de los que sean responsables Administraciones
tributarias y se relacionen con el ejercicio de sus potestades
tributarias.
Aquellos de los que sean responsables las entidades financieras
para finalidades relacionadas con la prestacin de servicios
financieros.

Aquellos de los que sean responsables las Entidades Gestoras y

Servicios Comunes de la Seguridad Social y se relacionen con el
ejercicio de sus competencias. De igual modo, aquellos de los
que sean responsables las mutuas de accidentes de trabajo y
enfermedades profesionales de la Seguridad Social.
Aquellos que contengan un conjunto de datos de carcter
personal que ofrezcan una definicin de las caractersticas o de la
personalidad de los ciudadanos y que permitan evaluar
determinados aspectos de la personalidad del comportamiento
de los mismos.

de nivel medio son las que se detallan a continuacin:
1. Para todos los ficheros (automatizados o no).
1.a. Personal.
Definir las funciones y obligaciones de los diferentes usuarios o de los

perfiles de usuarios.
Definir de las funciones de control y las autorizaciones delegadas por el
responsable
1.b. Incidencias.
Llevar un registro de incidencias en el que se detalle: tipo, momento de

su deteccin, persona que la notifica, efectos y medidas correctoras
Elaborar un procedimiento de notificacin y gestin de las incidencias.
Disponer de una relacin actualizada de usuarios y accesos autorizados.

Controlar los accesos permitidos a cada usuario segn las funciones
asignadas.

Implantar mecanismos que eviten el acceso a datos o recursos con

derechos distintos de los autorizados.
Adoptar las mismas medidas para personal ajeno con acceso a los
recursos de datos.

Identificar el tipo de informacin que contienen los soportes.
1.e. Auditora.
Realizar una auditora, interna o externa, al menos cada dos aos.

Realizar una auditora ante modificaciones sustanciales en los sistemas
de informacin con repercusiones en seguridad, pese a no haber
transcurrido el plazo indicado en el punto anterior.
Verificar y controlar la adecuacin de las medidas de seguridad
implantadas.
Emitir un informe de las detecciones de deficiencias y propuestas
correctoras.
Analizar el informe del responsable de seguridad y remitir las
conclusiones al responsable del fichero.
2. Slo para ficheros automatizados.
2.a. Gestin de soportes.
Registrar la entrada y salida de soportes en el que se detalle: documento

o soporte, fecha, emisor/destinatario, nmero, tipo de informacin, forma
de envo, responsable autorizada para recepcin/entrega.

2.b. Identificacin y autenticacin.
Implantar mecanismos de identificacin y autenticacin personalizada de

los usuarios.
Crear un procedimiento de asignacin y distribucin de contraseas.
2.c. Copias de respaldo.

recuperacin de datos.
3.a. Criterios de archivo.

El archivado de documentos debe realizarse segn criterios que faciliten
su consulta y localizacin para garantizar el ejercicio de los derechos de
acceso, rectificacin, cancelacin y oposicin.
3.b. Almacenamiento.

3.c. Custodia de soportes.
Establecer criterios de diligente y custodia de la documentacin por

parte de la persona a cargo de la misma, durante su revisin tramitacin,
para evitar accesos no autorizados.

C. Nivel alto.
En los siguientes ficheros o tratamientos de datos de carcter personal,

adems de las medidas de nivel bsico y medio, se aplicarn las medidas de
nivel alto:
Los que se refieran a datos de ideologa, afiliacin sindical, religin,

creencias, origen racial, salud o vida sexual.
Los que contengan o se refieran a datos recabados para fines policiales
sin consentimiento de las personas afectadas.
Aqullos que contengan datos derivados de actos de violencia de
gnero.

de nivel bsico son las que se detallan a continuacin:
1.- Para todos los ficheros (automatizados o no).
1.a. Personal.
Definir las funciones y obligaciones de los diferentes usuarios o de los

perfiles de usuarios.
Definir de las funciones de control y las autorizaciones delegadas por el
responsable
1.b. Incidencias.
Llevar un registro de incidencias en el que se detalle: tipo, momento de

su deteccin, persona que la notifica, efectos y medidas correctoras
Elaborar un procedimiento de notificacin y gestin de las incidencias.

Disponer de una relacin actualizada de usuarios y accesos autorizados.

Controlar los accesos permitidos a cada usuario segn las funciones
asignadas.
Implantar mecanismos que eviten el acceso a datos o recursos con
derechos distintos de los autorizados.
Adoptar las mismas medidas para personal ajeno con acceso a los
recursos de datos.

Identificar el tipo de informacin que contienen los soportes, utilizando
un sistema de etiquetado que dificulte la identificacin para las personas
diferentes de los usuarios.
Cifrar los datos en la distribucin de soportes.
Cifrar la informacin en dispositivos porttiles fuera de las instalaciones
(evitar el uso de dispositivos que no permitan cifrado, o adoptar medidas
alternativas).
1.e. Auditora.
Realizar una auditora, interna o externa, al menos cada dos aos.

Realizar una auditora ante modificaciones sustanciales en los sistemas
de informacin con repercusiones en seguridad, pese a no haber
transcurrido el plazo indicado en el punto anterior.
Verificar y controlar la adecuacin de las medidas de seguridad
implantadas.
Emitir un informe de las detecciones de deficiencias y propuestas
correctoras.

Analizar el informe del responsable de seguridad y remitir las

conclusiones al responsable del fichero.
2.- Slo para ficheros automatizados.
2.a. Registro de accesos. (No resulta de aplicacin si el responsable del

fichero es una persona fsica y es el nico usuario.)
Llevar un registro de accesos en el que se haga constar: usuario, hora,

fichero, tipo de acceso, autorizado o denegado.
Revisar el responsable de seguridad el registro de accesos
mensualmente y elaborar un informe con toda la informacin.
Conservar la informacin del registro de accesos al menos 2 aos.
2.b. Gestin de soportes.
Registrar la entrada y salida de soportes en el que se detalle: documento

o soporte, fecha, emisor/destinatario, nmero, tipo de informacin, forma
de envo, responsable autorizada para recepcin/entrega.
2.c. Identificacin y autenticacin.
Implantar mecanismos de identificacin y autenticacin personalizada de

los usuarios.
Crear un procedimiento de asignacin y distribucin de contraseas.
2.d. Copias de respaldo.

recuperacin de datos


Conservar una copia de respaldo en lugar diferente del que se
encuentren los equipos informticos que los tratan.
3.a. Control de acceso.
Limitar el acceso al personal autorizado.

Establecer mecanismos que permitan identificar los accesos a
documentos accesibles por mltiples usuarios.
3.b. Criterios de archivo.
El archivado de documentos debe realizarse segn criterios que faciliten

su consulta y localizacin para garantizar el ejercicio de los derechos de
acceso, rectificacin, cancelacin y oposicin.
3.c. Almacenamiento.

Localizar los armarios, archivadores u otros elementos donde se
almacenen los ficheros en reas con acceso protegido con puertas con
llave u otro dispositivo equivalente.
3.d. Custodia de soportes.

Establecer criterios de diligente y custodia de la documentacin por
parte de la persona a cargo de la misma, durante su revisin o
tramitacin, para evitar accesos no autorizados.

3.e. Copia o reproduccin.
Limitar la posibilidad de realizacin a los usuarios autorizados.

Destruir las copias desechadas.
Como resumen de las medidas de seguridad aplicables a los ficheros o

tratamientos de datos de carcter personal, haremos uso de un cuadro extrado
de la Gua de Seguridad creada por la AEPD en abril de 2008*****
Nivel Alto
Nivel Medio
Nivel Bsico
Responsable El responsable del fichero

tiene que designar a uno o

de seguridad varios responsables de
seguridad (no es una
delegacin de
responsabilidad).
El responsable de
seguridad es el encargado
de coordinar y controlar las
medidas del documento.
Personal Funciones y obligaciones
de los diferentes usuarios

o de los perfiles de
usuarios claramente
definidas y documentadas.
D efinicin de las
funciones de control y las
autorizaciones delegadas
por el responsable.
Difusin entre el personal,
de las normas que les

afecten y de las
consecuencias por
incumplimiento.
Incidencias R egistro de incidencias: SOLO FICHEROS

tipo, momento de su AUTOMATIZADOS
deteccin, persona que la
notifica, efectos y medidas Anotar los procedimientos
correctoras. de recuperacin, persona

que lo ejecuta, datos
Procedimiento de restaurados, y en su caso,
notificacin y gestin de datos grabados
las incidencias. manualmente.
Autorizacin del
responsable del fichero
para la recuperacin de
datos.
*****
Vid. AEPD Gua de Seguridad, https://www.agpd.es/portalweb/canalresponsable/guia_documento/
common/pdfs/guia_seguridad.pdf.

Nivel Alto
Nivel Medio
Nivel Bsico
Control de R elacin actualizada de SOLO FICHEROS SOLO FICHEROS
acceso usuarios y accesos AUTOMATIZADOS AUTOMATIZADOS
autorizados.
C ontrol de acceso R egistro de accesos:
C ontrol de accesos fsico a los locales usuario, hora, fichero, tipo
permitidos a cada usuario donde se encuentren de acceso, autorizado o
segn las funciones ubicados los sistemas denegado.
asignadas. de informacin.
R evisin mensual del
Mecanismos que registro por el responsable
eviten el acceso a datos o de seguridad.
recursos con derechos
distintos de los C onservacin 2 aos.
autorizados.
N o es necesario este
C oncesin de permisos registro si el responsable
de acceso slo por del fichero es una persona
personal autorizado. fsica y es el nico usuario.
Mismas condiciones para SOLO FICHEROS NO

personal ajeno con acceso AUTOMATIZADOS
a los recursos de datos.
C ontrol de accesos
autorizados.
Identificacin accesos
para documentos
accesibles por mltiples
usuarios.
Identificacin de SOLO FICHEROS SOLO FICHEROS
usuarios AUTOMATIZADOS AUTOMATIZADOS
Lmite de intentos
Identificacin y
reiterados de acceso no
autenticacin
autorizado.
personalizada.
Procedimiento asignacin
y distribucin de
contraseas.
Almacenamiento
ininteligible de
contraseas.
P eriodicidad del cambio

de contraseas (>1 ao).
Gestin de Inventario de soportes.
SOLO FICHEROS SOLO FICHEROS
soportes Identificacin del tipo de
AUTOMATIZADOS AUTOMATIZADOS
informacin que contienen,
o sistema de etiquetado.
R egistro de entrada y Sistema de etiquetado
Acceso restringido al
salida de soportes: confidencial.
lugar de almacenamiento.
documento o soporte, Cifrado de datos en la
Autorizacin de las
fecha, emisor/destinatario, distribucin de soportes.
salidas de soportes
nmero, tipo de Cifrado de informacin en
(incluidas a travs de e-
informacin, forma de dispositivos porttiles fuera
mail).
envo, responsable de las instalaciones (evitar
Medidas para el
autorizada para el uso de dispositivos que
transporte y el desecho de
recepcin/entrega. no permitan cifrado).
soportes.

Nivel Alto
Nivel Medio
Nivel Bsico
Copias de SOLO FICHEROS SOLO FICHEROS
respaldo AUTOMATIZADOS AUTOMATIZADOS
C opia de respaldo C opia de respaldo y

semanal. procedimientos de
recuperacin en lugar
Procedimientos de diferente del que se
generacin de copias de encuentren los equipos.
respaldo y recuperacin de
datos.
V erificacin semestral de
los procedimientos.
R econstruccin de los
datos a partir de la ltima
copia.
Grabacin manual en su
caso, si existe
documentacin que lo
permita.
Pruebas con datos reales.
Copia de seguridad y
aplicacin del nivel de
seguridad correspondiente.
Criterios de SOLO FICHEROS NO
AUTOMATIZADOS
archivo
El archivo de los
documentos debe
realizarse segn criterios
que faciliten su consulta y
localizacin para
garantizar el ejercicio
de los derechos ARCO.
Almacenamiento SOLO FICHEROS NO SOLO FICHEROS NO
AUTOMATIZADOS AUTOMATIZADOS
Dispositivos de Armarios, archivadores,
almacenamiento dotados de documentos en reas

de mecanismos que con acceso protegido con
obstaculicen puertas
su apertura. con llave.
Custodia SOLO FICHEROS NO
AUTOMATIZADOS
soportes
Durante la revisin o
tramitacin de los
documentos, la persona a
cargo de los mismos debe
ser diligente y custodiarla
para evitar accesos no
autorizados.
Copia o SOLO FICHEROS NO
AUTOMATIZADOS
reproduccin
S lo puede realizarse por
los usuarios autorizados.

D estruccin de copias
desechadas.

Nivel Alto
Nivel Medio
Nivel Bsico
Auditora Al menos cada dos
aos, interna o externa.
D ebe realizarse ante

modificaciones
sustanciales en los
sistemas de informacin
con repercusiones en
seguridad.
V erificacin y control de
la adecuacin de las
medidas.
Informe de deteccin de
deficiencias y propuestas
correctoras.
Anlisis del responsable
de seguridad y
conclusiones al
responsable del fichero.
Telecomunicaciones SOLO FICHEROS

AUTOMATIZADOS
T ransmisin de datos a
travs de redes
electrnicas cifrada.
Traslado de SOLO FICHEROS NO

documentacin AUTOMATIZADOS
Medidas que impidan el
acceso o manipulacin.
El RLOPD establece, adems, algunos supuestos especiales en relacin con

las medidas de seguridad aplicables a los ficheros o tratamientos, en concreto,
relativas a los siguientes:
A. A los ficheros de los que sean responsables los operadores que presten
servicios de comunicaciones electrnicas disponibles al pblico o exploten
redes pblicas de comunicaciones electrnicas respecto a los datos de trfico y
a los datos de localizacin, se aplicarn, adems de las medidas de seguridad
de nivel bsico y medio, la medida de seguridad de nivel alto contenida en el
artculo 103 de este reglamento.
Artculo 103 del RLOPD:Registro de accesos.

1. De cada intento de acceso se guardarn, como mnimo, la identificacin del usuario, la fecha y hora en que se realiz, el fichero
accedido, el tipo de acceso y si ha sido autorizado o denegado.
2. En el caso de que el acceso haya sido autorizado, ser preciso guardar la informacin que permita identificar el registro
accedido.

B. Ficheros o tratamientos de datos de ideologa, afiliacin sindical,

religin, creencias, origen racial, salud o vida sexual. En relacin con estos,
ser suficiente la implantacin de las medidas de seguridad de nivel bsico
cuando:
Los datos se utilicen con la nica finalidad de realizar una transferencia

dineraria a las entidades de las que los afectados sean asociados o
miembros. Por ejemplo, la detraccin de la cuota sindical de la nmina a
peticin del empleado.
Se trate de ficheros o tratamientos no automatizados en los que de
forma incidental o accesoria se contengan aquellos datos sin guardar
relacin con su finalidad.
AEPD ha emitido un Informe Jurdico, relativo a las medidas de seguridad en

los ficheros de nminas y dems especialidades, en respuesta a la consulta
planteada por un responsable de ficheros.
C. Ficheros o tratamientos que contengan datos relativos a la salud

referentes exclusivamente al grado de discapacidad o la simple
declaracin de la condicin de discapacidad o invalidez del afectado. Del
mismo modo que en el caso anterior, resultar suficiente la implantacin de las
medidas de seguridad de nivel bsico, en los ficheros o tratamientos que
contengan este tipo de datos, nicamente, con motivo del cumplimiento de
deberes pblicos (desarrollado en el apartado 3.2). Con el fin de facilitar la
implantacin de las medidas de seguridad, cuando en un sistema de
informacin existan ficheros o tratamientos que en funcin de su finalidad o uso
concreto o de la naturaleza de los datos que contengan, requieran la aplicacin
3. Los mecanismos que permiten el registro de accesos estarn bajo el control directo del responsable de seguridad competente sin
que deban permitir la desactivacin ni la manipulacin de los mismos.
4. El perodo mnimo de conservacin de los datos registrados ser de dos aos.
5. El responsable de seguridad se encargar de revisar al menos una vez al mes la informacin de control registrada y elaborar
un informe de las revisiones realizadas y los problemas detectados.
6. No ser necesario el registro de accesos definido en este artculo en caso de que concurran las siguientes circunstancias:
a) Que el responsable del fichero o del tratamiento sea una persona fsica.
b) Que el responsable del fichero o del tratamiento garantice que nicamente l tiene acceso y trata los datos personales.
La concurrencia de las dos circunstancias a las que se refiere el apartado anterior deber hacerse constar expresamente en el
Vid. AEPD, Informe Jurdico 0156/2008 Medidas de seguridad en los ficheros de nminas y dems especialidades,
https://www.agpd.es/portalweb/canaldocumentacion/informes_juridicos/common/pdfs/2008-0156_Medidas-de-seguridad-en-los-
ficheros-de-n-oo-minas-y-dem-aa-s-especialidades.pdf.

de un nivel de medidas de seguridad diferente al del sistema principal, el propio

RLOPD otorga al responsable del fichero la posibilidad de segregar este ltimo,
siendo de aplicacin en cada caso el nivel de medidas de seguridad
correspondiente y siempre que puedan delimitarse los datos afectados y los
usuarios con acceso a los mismos.
Productos de software.
En relacin con las medidas de seguridad aplicables a los ficheros de datos de

carcter personal, la disposicin adicional nica del RLOPD introduce una
novedad, imponiendo una obligacin a las empresa que desarrollan productos
de software destinados al tratamiento automatizado de datos personales, que
debern incluir en su descripcin tcnica el nivel de seguridad, bsico, medio o
alto, que permitan alcanzar dichos productos.
Por ello, todas las aplicaciones de software que utilicemos en nuestras

organizaciones para el tratamiento de ficheros de datos de carcter personal
debern acreditar el nivel de seguridad que permiten alcanzar y deberemos
evaluar si el mismo es suficiente de acuerdo con el nivel de seguridad que
requiera cada fichero.
Si no es as, deberemos sustituir la aplicacin por otra que s nos permita

implementar las medidas de seguridad adecuadas. Asimismo, esta materia
deber ser incluida en la Auditora bienal de aquellas organizaciones que
posean ficheros de nivel medio o alto.
2.4. La cesin de los datos
Como punto de partida, debemos saber que la LOPD -artculo 3.i)- define la
cesin o comunicacin de datos como toda revelacin de datos realizada a
una persona distinta del interesado, regulndola en su artculo 11. Como
principio rector, los datos de carcter personal slo podrn cederse si se
cumplen dos requisitos:

Que se realice para el cumplimiento de fines directamente relacionados

con las funciones legtimas del cedente y del cesionario.
Consentimiento previo del interesado.
No obstante, existen algunos supuestos en los que no se exige el segundo

requisito: consentimiento del interesado. El apartado segundo del citado
precepto los recoge expresamente:
Cuando la cesin est autorizada en una Ley.
Tradicionalmente, se ha discutido mucho sobre la posibilidad de interpretar

esta excepcin en sentido amplio, considerando que la cesin de datos
puede encontrarse amparada por una norma con rango inferior al de Ley,
pero la AEPD ha sentado a travs de numerosos informes y resoluciones el
criterio de que la interpretacin de la misma ha de hacerse en sentido
estricto y, nicamente, admite la aplicacin de esta excepcin cuando la
cesin se encuentra recogida en una norma con rango de Ley o superior.
El RLOPD -artculo 10.2.a)- ha desarrollado esta excepcin aadiendo la

posibilidad de que se encuentra autorizada en una norma de derecho
comunitario y, en particular, cuando concurra uno de los supuestos
siguientes:
El tratamiento o la cesin tengan por objeto la satisfaccin de un inters

legtimo del responsable del tratamiento o del cesionario amparado por
dichas normas, siempre que no prevalezca el inters o los derechos y
libertades fundamentales de los interesados previstos en el artculo 1 de la
Ley Orgnica 15/1999, de 13 de diciembre.
El tratamiento o la cesin de los datos sean necesarios para que el
responsable del tratamiento cumpla un deber que le imponga una de dichas
normas.

Cuando se trate de datos recogidos de fuentes accesibles al pblico.

En virtud de lo establecido en el artculo 10.2.b) del RLOPD podr realizarse
una cesin amparada en esta excepcin cuando el tercero a quien se
comuniquen los datos tenga un inters legtimo para su tratamiento o
conocimiento, siempre que no se vulneren los derechos y libertades
fundamentales del interesado.
No obstante, las Administraciones pblicas slo podrn comunicar al

amparo de la misma los datos recogidos de fuentes accesibles al pblico a
responsables de ficheros de titularidad privada cuando se encuentren
autorizadas para ello por una norma con rango de ley.
Cuando el tratamiento responda a la libre y legtima aceptacin de una

relacin jurdica cuyo desarrollo, cumplimiento y control implique
necesariamente la conexin de dicho tratamiento con ficheros de
terceros. En este caso la comunicacin slo ser legtima en cuanto se
limite a la finalidad que la justifique.
Cuando la comunicacin que deba efectuarse tenga por destinatario al

Defensor del Pueblo, el Ministerio Fiscal o los Jueces o Tribunales o el
Tribunal de Cuentas, en el ejercicio de las funciones que tiene
atribuidas. Tampoco ser preciso el consentimiento cuando la
comunicacin tenga como destinatario a instituciones autonmicas con
funciones anlogas al Defensor del Pueblo o al Tribunal de Cuentas.
Cuando la cesin se produzca entre Administraciones Pblicas y tenga

por objeto el tratamiento posterior de los datos con fines histricos,
estadsticos o cientficos. En relacin con esta excepcin, el RLOPD -
artculo 10.4- ha recogido dos nuevos supuestos:
o Que los datos de carcter personal hayan sido recogidos o

elaborados por una Administracin pblica con destino a otra.
o Que la comunicacin se realice para el ejercicio de competencias
idnticas o que versen sobre las mismas materias.

o Cuando la cesin de datos de carcter personal relativos a la

salud sea necesaria para solucionar una urgencia que requiera
acceder a un fichero para realizar los estudios epidemiolgicos en
los trminos establecidos en la legislacin sobre sanidad estatal o
autonmica.
Aade el artculo 10.5 del RLOPD que: En particular, no ser necesario el

consentimiento del interesado para la comunicacin de datos personales
sobre la salud, incluso a travs de medios electrnicos, entre organismos,
centros y servicios del Sistema Nacional de Salud cuando se realice para la
atencin sanitaria de las personas, conforme a lo dispuesto en el Captulo V
de la Ley 16/2003, de 28 de mayo, de cohesin y calidad del Sistema
Nacional de Salud.
Es importante indicar que el destinatario o cesionario, definido en el propio

RLOPD como la persona fsica o jurdica, pblica o privada, rgano
administrativo o ente sin personalidad jurdica que acta en el trfico como
sujeto diferenciado al que se revelen los datos, se obliga, por el solo hecho de
la comunicacin, al cumplimiento de la LOPD y su normativa de desarrollo.
Cesin o comunicacin de datos entre empresas del mismo grupo.
Respecto de los grupos de empresas, es importante aclarar que la AEPD

considera que las comunicaciones de datos realizadas entre las empresas
integrantes de un mismo grupo se consideran cesiones a terceros, sometidas a
los requisitos descritos. Como consecuencia, no se considera vlido el
consentimiento obtenido mediante clusulas genricas que se limiten a recoger
el consentimiento para la cesin de datos a empresas del grupo.

La AEPD emiti en el ao 2004 un informe jurdico, como respuesta a una

consulta en la que se planteaba si resultaba conforme a derecho el tratamiento
y comunicacin de datos entre las empresas de un mismo grupo con fines de
publicidad y promocin, en el que tras analizar la clusula utilizada para la
obtencin del consentimiento, concluye considerar la cesin como ajustada a
derecho porque dicha clusula inclua todos los requisitos exigidos en el
artculo 5.1 de la LOPD, lo que implica que el consentimiento ha sido otorgado
vlidamente.
2.5. El acceso a datos por cuenta de terceros
La LOPD define al encargado de tratamiento en el artculo 3.g) como:
La persona fsica o jurdica, autoridad pblica, servicio o cualquier otro

organismo que, solo o conjuntamente con otros, trate datos personales por
cuenta del responsable del tratamiento y el artculo 5.1.i) del RLOPD se
expresa en los siguientes trminos: La persona fsica o jurdica, pblica o
privada, u rgano administrativo que, solo o conjuntamente con otros, trate
datos personales por cuenta del responsable del tratamiento o del responsable
del fichero, como consecuencia de la existencia de una relacin jurdica que le
vincula con el mismo y delimita el mbito de su actuacin para la prestacin de
un servicio.
La AEPD reproduce la doctrina de la Audiencia Nacional sobre el alcance de

este concepto en su Informe jurdico 0309/2008******, clarificando el significado
de encargado de tratamiento y su alcance. As, la Sentencia de 28 de
septiembre de 2005 recuerda que:
Vid. AEPD, Informe Jurdico 325/2004 Comunicacin de datos entre empresas de un mismo grupo,
https://www.agpd.es/portalweb/canaldocumentacion/informes_juridicos/cesion_datos/common/pdfs/2004-0325_Comunicaci-oo-n-
de-datos-entre-empresas-de-un-mismo-grupo.pdf.
******
Vid. AEPD, Informe Jurdico 0309/2008 Los ensobrados y recepcin de direcciones de personas fsicas para efectuar
envos configura a la empresa como encargado de tratamiento,
https://212.170.242.196/portalweb/canaldocumentacion/informes_juridicos/conceptos/common/pdfs/2008-0309_Los-ensobrados-
yrecepci-oo-n-de-direcciones-de-personas-f-ii-sicas-para-efectuar-env-ii-os-configura-a-la-empresa-comoencargado-del-
tratamiento.pdf.

La diferencia entre encargado del tratamiento y cesin en algunos casos

reviste cierta complejidad, pero como ha sealado esta Seccin en la reciente
sentencia de 12 de abril de 2005 (recurso 258/2003) lo tpico del encargo de
tratamiento es que un sujeto externo o ajeno al responsable del fichero va a
tratar datos de carcter personal pertenecientes a los tratamientos efectuados
por aqul con objeto de prestarle un servicio en un mbito concreto..... Siendo
esencial para no desnaturalizar la figura, que el encargado del tratamiento se
limite a realizar el acto material de tratamiento encargado, y no siendo
supuestos de encargo de tratamiento aquellos en los que el objeto del contrato
fuese el ejercicio de una funcin o actividad independiente del encargado. En
suma, existe encargo de tratamiento cuando la transmisin o cesin de datos
est amparada en la prestacin de un servicio que el responsable del
tratamiento recibe de una empresa externa o ajena a su propia organizacin, y
que ayuda en el cumplimiento de la finalidad del tratamiento de datos
consentida por el afectado.
En consecuencia, para determinar si nos encontramos en presencia de un

encargado del tratamiento deber analizarse si su actividad se encuentra
limitada a la mera prestacin de un servicio al responsable, sin generarse
ningn vnculo entre el afectado y el supuesto encargado. Adems, ser
preciso que corresponda al responsable el poder de decisin sobre la finalidad
que justifica el tratamiento, de manera que si el tratamiento procede de la
voluntad del encargado, este tendr en todo caso la condicin de responsable.
Se entender que una empresa es encargada del tratamiento cuando no puede

decidir sobre el contenido, finalidad y uso del tratamiento y siempre que su
actividad no le reporte otro beneficio que el derivado de la prestacin de
servicios propiamente dicha, sin utilizar los ficheros generados en modo alguno
en su provecho, puesto que en ese caso pasara a ser responsable del fichero.
El artculo 12 de la LOPD regula el acceso a datos por cuenta de terceros. En

cumplimiento de lo establecido en el mismo, las prestaciones de servicios al
responsable de los ficheros que impliquen un acceso a datos de carcter
personal contenidos en los mismos, deben regularse a travs de un contrato
escrito en el que se establezcan los trminos en los que se producir el citado
acceso o tratamiento de datos personales.

El servicio prestado podr tener o no carcter remunerado y ser temporal o

indefinido. El contrato deber recoger, como mnimo, el siguiente contenido:
Obligacin del encargado del tratamiento de tratar los datos conforme a

las instrucciones del responsable del fichero o tratamiento.
Prohibicin de utilizar los datos con fin distinto al que figura en el
contrato.
Prohibicin de comunicar los datos a terceras personas, ni siquiera para
su conservacin.
Medidas de seguridad que, en virtud del Real Decreto 1720/2007, de 21
de diciembre, por el que se aprueba el Reglamento de desarrollo de la
LOPD (en adelante, RLOPD), el encargado del tratamiento est obligado
a cumplir en el tratamiento de los datos personales.
Obligacin de devolver los datos al responsable del fichero o destruirlos
una vez concluida la prestacin contractual.
Responsabilidades del encargado del tratamiento por incumplimiento de
las anteriores obligaciones, en cuyo caso ser considerado tambin
responsable del tratamiento, respondiendo de las infracciones en que
hubiera incurrido personalmente.
El RLOPD recoge que se considerar que existe comunicacin de datos

cuando el acceso tenga por objeto el establecimiento de un nuevo vnculo entre
quien accede a los datos y el afectado, as como la obligacin del responsable
del tratamiento de velar por que el encargado del mismo rena las garantas
para el cumplimiento de lo dispuesto en dicho cuerpo normativo. Esto se
traducir en la prctica en la necesidad de que el responsable del fichero
articule algn sistema que le permita llevar un control de la actividad
desarrollada por su prestador de servicios.
Por ejemplo, establecer en el contrato de acceso y tratamiento de datos la

posibilidad del responsable del fichero de solicitar el informe de las auditoras
realizadas.

En el caso de que el encargado del tratamiento destine los datos a otra

finalidad, los comunique o los utilice incumpliendo las estipulaciones del
contrato en el que se ha regulado el acceso a datos, se considerar
responsable del tratamiento, respondiendo de las infracciones en que hubiera
incurrido personalmente. No obstante, el encargado del tratamiento no incurrir
en responsabilidad cuando, previa indicacin expresa del responsable,
comunique los datos a un tercero designado por aqul, al que hubiera
encomendado la prestacin de un servicio.
Posibilidad de subcontratacin de los servicios.
La LOPD no establece nada en relacin con la posibilidad de subcontratacin

de los servicios por parte del encargado de tratamiento.
En su Memoria del ao 2000, la AEPD realizaba la interpretacin que se

recoge a continuacin, al analizar la figura del encargado de tratamiento:
En lo referente a la cesin de los datos, de lo establecido en la el artculo 12.2
se desprende que no se producir esa cesin, de forma que los datos habrn
de ser entregados nica y exclusivamente al responsable del fichero. Ello
implica, a nuestro juicio, la posibilidad de proceder a una subcontratacin de
este tipo de servicios por parte del encargado del tratamiento, debiendo
siembre el responsable ser parte de la relacin jurdica, ya que cualquier
transmisin de los datos a un tercero que no corresponda al responsable del
fichero habr de ser considerada cesin
No obstante, la AEPD consciente de que la subcontratacin de servicios es una

realidad y que prohibirla originara muchos problemas en la prctica, establece
en la citada Memoria frmulas a travs de las cuales se podra realizar y,
adems, la Memoria de 2001 admiti la subcontratacin cuando se cumplieran
determinados requisitos.

El Artculo 21 del RLOPD regula por primera vez la posibilidad de subcontratar

servicios por parte del encargado de servicios, sentando como regla general la
prohibicin del encargado del tratamiento de subcontratar con un tercero la
realizacin de ningn tratamiento que le hubiera encomendado el responsable
del mismo, salvo que hubiera obtenido de ste autorizacin para ello. En este
caso, la contratacin se efectuar siempre en nombre y por cuenta del
responsable del tratamiento.
No obstante, admite la posibilidad de subcontratar sin necesidad de

autorizacin siempre y cuando se cumplan los siguientes requisitos:
Que se especifiquen en el contrato los servicios que puedan ser objeto
de subcontratacin y, si ello fuera posible, la empresa con la que se
vaya a subcontratar.
Cuando no se identificase en el contrato la empresa con la que se vaya
a subcontratar, ser preciso que el encargado del tratamiento
comunique al responsable los datos que la identifiquen antes de
proceder a la subcontratacin.
Que el tratamiento de datos de carcter personal por parte del
subcontratista se ajuste a las instrucciones del responsable del fichero.
Que el encargado del tratamiento y la empresa subcontratista formalicen
el contrato, en los trminos previstos en el artculo anterior.
En este caso, el subcontratista ser considerado encargado del
tratamiento y, como tal tendr que cumplir las obligaciones que la
normativa le impone.
Si durante la prestacin del servicio resulta necesario subcontratar una parte

del mismo y dicha circunstancia no hubiera sido prevista en el contrato,
debern someterse al responsable del tratamiento los extremos sealados.
Conservacin de los datos por el encargado del tratamiento.
Si bien el artculo 22 del RLOPD regula la conservacin de los datos por el

encargado de tratamiento, establece unas obligaciones que resultan
sumamente confusas.

En su primer apartado establece que, una vez cumplida la prestacin

contractual, los datos de carcter personal debern ser destruidos o devueltos
al responsable del tratamiento o al encargado que ste hubiese designado, al
igual que cualquier soporte o documentos en que conste algn dato de carcter
personal objeto del tratamiento y a continuacin que no proceder la
destruccin de los datos cuando exista una previsin legal que exija su
conservacin, en cuyo caso deber procederse a la devolucin de los mismos
garantizando el responsable del fichero dicha conservacin. Tambin establece
la obligacin para el encargado de tratamiento de conservar, debidamente
bloqueados, los datos en tanto pudieran derivarse responsabilidades de su
relacin con el responsable del tratamiento. Pensemos que aqu es donde se
puede crear la confusin, dado que si se cumple esta obligacin, el encargado
de tratamiento no podr destruir o devolver los datos, cumpliendo la obligacin
impuesta en el primer apartado.
Las medidas de seguridad en relacin con el encargado del tratamiento.
El artculo 82 del RLOPD establece algunas obligaciones en relacin con este

tema, en concreto:
Cuando un encargado de tratamiento preste sus servicios en los locales

del responsable, esto deber constar en el documento de seguridad del
responsable, comprometindose el personal del encargado al
cumplimiento de las medidas de seguridad previstas en el mismo.
Cuando el acceso sea remoto, habindose prohibido al encargado
incorporar los datos objeto de tratamiento a sistemas o soportes distintos
de los del responsable, este deber dejar constancia de ello en su
documento de seguridad, comprometindose el personal del encargado
al cumplimiento de las medidas de seguridad previstas en el citado
documento.
Cuando un encargado de tratamiento preste los servicios contratados en
sus propios locales, deber elaborar un documento de seguridad o
completar el que ya tuviera, identificando el fichero o tratamiento y el
responsable del mismo e incorporando las medidas de seguridad a
implantar en relacin con dicho tratamiento.

En todo caso, el acceso a los datos por el encargado del tratamiento

estar sometido a las medidas de seguridad contempladas en el
RLOPD.
2.6. Prestaciones de servicios sin acceso a datos personales
El RLOPD regula una figura novedosa en materia de proteccin de datos: las

prestaciones de servicios sin acceso a datos personales, estableciendo la
obligacin para el responsable del fichero o tratamiento de adoptar las medidas
adecuadas para limitar el acceso del personal a datos personales, a los
soportes que los contengan o a los recursos del sistema de informacin, para la
realizacin de trabajos que no impliquen el tratamiento de datos personales.
Dispone, adems, que cuando se trate de personal ajeno, el contrato de

prestacin de servicios recoger expresamente la prohibicin de acceder a los
datos personales y la obligacin de secreto respecto a los datos que el
personal hubiera podido conocer con motivo de la prestacin del servicio, no
resultando necesario firmar un contrato de acceso y tratamiento de datos, en
los trminos establecidos en el artculo 12 de la LOPD.
En las prestaciones sin acceso a datos existen obligaciones de

seguridad?
La respuesta de la AEPD a esta pregunta se encuentra al alcance de todos los

ciudadanos a travs de su pgina web:
Cualquier actividad que suponga un contacto directo o indirecto con el sistema

de informacin y/o su entorno fsico o lgico puede ser susceptible de poner en
riesgo la seguridad de los datos:
www.agpd.es/portalweb/jornadas/1_sesion_abierta/common/faqs_bloque_1.pdf.

Limpieza.
Seguridad.
Mantenimiento o reparacin de instalaciones (que no se refiera al propio
sistema de informacin).
Incluye servicios de destruccin o almacenamiento de soportes cuando el

prestador desconozca el criterio de archivo o no pueda recuperar dato alguno.
2.7. La modificacin de ficheros
Siguiendo lo dispuesto en el artculo 58 del RLOPD y, dado que la inscripcin

de un fichero de datos de carcter personal que obra en el RGPD debe
encontrarse actualizada en todo momento, cualquier modificacin que afecte al
contenido de la misma deber ser previamente notificada a la AEPD o a las
autoridades de control autonmicas competentes, a fin de proceder a su
inscripcin en el RGPD. Cuando se trate de un fichero de titularidad pblica
debe adoptarse, con carcter previo a la notificacin, la correspondiente norma
o acuerdo en los trminos previstos al tratarla creacin de ficheros.
2.8. Las transferencias internacionales de datos
La norma general no permite al responsable de los ficheros realizar

transferencias internacionales de datos de carcter personal que hayan sido
objeto de tratamiento o hayan sido recogidos para someterlos a dicho
tratamiento con destino a pases que no proporcionen un nivel de proteccin
equiparable al que presta LOPD, salvo que cumplan los siguientes requisitos:
Se haya observado lo dispuesto en la LOPD.

Se obtenga autorizacin previa del Director de la AEPD.
El carcter adecuado del nivel de proteccin que ofrece el pas de destino se

evaluar por la AEPD atendiendo a todas las circunstancias que concurran en
la transferencia o categora de transferencia de datos.

En la actualidad se consideran pases con nivel de proteccin adecuado al que

presta la LOPD los Estados Miembros de la Unin Europea, Islandia,
Liechtenstein, Noruega y los Estados que la Comisin Europea ha declarado
que garantizan un nivel de proteccin adecuado: Suiza, Argentina, Guernsey,
Isla de Man, las entidades estadounidenses adheridas a los principios de
Puerto Seguro, Canad respecto de las entidades sujetas al mbito de
aplicacin de la ley canadiense de proteccin de datos y los datos personales
incluidos en los registros de nombres de los pasajeros que se transfieren al
Servicio de aduanas y proteccin de fronteras de los Estados Unidos de
Amrica.
La propia LOPD reconoce algunas excepciones a la norma general, de manera

que no ser necesaria la autorizacin previa del Director de la AEPD en los
siguientes supuestos:
Cuando la transferencia internacional de datos de carcter personal

resulte de la aplicacin de tratados o convenios en los que sea parte
Espaa.
Cuando la transferencia se haga a efectos de prestar o solicitar auxilio
judicial internacional.
Cuando la transferencia sea necesaria para la prevencin o para el
diagnstico mdicos, la prestacin de asistencia sanitaria o tratamiento
mdicos la gestin de servicios sanitarios.
Cuando se refiera a transferencias dinerarias conforme a su legislacin
especfica.
Cuando el afectado haya dado su consentimiento inequvoco a la
transferencia prevista.
Cuando la transferencia sea necesaria para la ejecucin de un contrato
entre el afectado y el responsable del fichero o para la adopcin de
medidas precontractuales adoptadas a peticin del afectado.
Cuando la transferencia sea necesaria para la celebracin o ejecucin
de un contrato celebrado o por celebrar, en inters del afectado, por el
responsable del fichero y un tercero.

Cuando la transferencia sea necesaria o legalmente exigida para la

salvaguarda de un inters pblico. Tendr esta consideracin la
transferencia solicitada por una Administracin fiscal o aduanera para el
cumplimiento de sus competencias.
Cuando la transferencia sea precisa para el reconocimiento, ejercicio o
defensa de un derecho en un proceso judicial.
Cuando la transferencia se efecte, a peticin de persona con inters
legtimo, desde un Registro Pblico y aqulla sea acorde con la finalidad
del mismo.
Cuando la transferencia tenga como destino un Estado miembro de la
Unin Europea, o un Estado respecto del cual la Comisin de las
Comunidades Europeas, en el ejercicio de sus competencias, haya
declarado que garantiza un nivel de proteccin adecuado.
El RLOPD introduce una novedad al definir la transferencia internacional de

datos como el Tratamiento de datos que supone una transmisin de los
mismos fuera del territorio del Espacio Econmico Europeo, bien constituya
una cesin o comunicacin de datos, bien tenga por objeto la realizacin de un
tratamiento de datos por cuenta del responsable del fichero establecido en
territorio espaol.
Esto supone un cambio ya que, si bien realizando una interpretacin literal de

la LOPD un movimiento de datos a pases de la Unin Europea supone una
transferencia internacional de datos para la que no se necesita autorizacin
previa del Director de la AEPD, de la definicin aportada por el RLOPD se
desprende que dicho movimiento de datos no se considera transferencia
internacional.

3.1. La cancelacin y el bloqueo de los datos
En funcin de lo establecido en el artculo 4.5 de la LOPD, el responsable de

ficheros se ver obligado a cancelar los datos de carcter personal cuando
hayan dejado de ser necesarios o pertinentes para la finalidad para la cual
hubieran sido recabados o registrados, de manera que no podr conservarlos
en forma que permita la identificacin del interesado durante un perodo
superior al necesario para los fines en base a los cuales los hubiera recabado o
registrado.
El RLOPD recuerda la obligacin de cancelar los datos cuando dejan de ser

necesarios o pertinentes para la finalidad para la cual han registrados o
recabados, aadiendo que, no obstante, podrn conservarse durante el tiempo
en que pueda exigirse algn tipo de responsabilidad derivada de una relacin u
obligacin jurdica o de la ejecucin de un contrato o de la aplicacin de
medidas precontractuales solicitadas por el interesado.
Una vez cumplido el perodo al que se refieren los prrafos anteriores, los
datos slo podrn ser conservados previa disociacin de los mismos, sin
perjuicio de la obligacin de bloqueo prevista en la LOPD y el RLOPD. En este
sentido, debemos saber que un procedimiento de disociacin es todo
tratamiento de datos personales que permita la obtencin de datos disociados.

3.2. La supresin de ficheros
Cuando el responsable de un fichero decida su supresin, deber notificarla a

AEPD o a las autoridades de control autonmicas competentes, a fin de
proceder a la supresin del mismo en el RGPD.
Cuando se trate de un fichero de titularidad pblica debe adoptarse con

carcter previo a la notificacin la correspondiente norma o acuerdo en los
mismos trminos que en los casos de creacin y modificacin de ficheros, ya
tratados anteriormente. Una vez tramitado el procedimiento establecido, el
Director de la AEPD dictar resolucin acordando la cancelacin de la
inscripcin del fichero.
Hasta ahora hemos hablado de la supresin de ficheros a instancia de parte,

pero el artculo 61 del RLOPD establece la posibilidad de que sea el propio
Director de la AEPD quien, en ejercicio de sus competencias, acuerde de oficio
la cancelacin de la inscripcin de un fichero. Para ello, han de concurrir
circunstancias que acrediten la imposibilidad de que exista y ha de seguirse el
mismo procedimiento que en los casos de supresin a instancia del
responsable del fichero.
3.2.1. El deber de secreto
El deber de secreto, es una obligacin que subsistir en relacin con los

usuarios de los datos, aun despus de finalizar sus relaciones con el titular del
fichero o, en su caso, con el responsable del mismo.

RLOPD frente a la LOPD legalmente hablando
El Ordenamiento Jurdico espaol se fundamenta en una estricta jerarqua

normativa creada al amparo de la Constitucin de 1978. Esto implica que las
normas de rango inferior deben desarrollar las disposiciones de rango superior
sin entrar en conflicto. Sin embargo, un legislador puede llegar a elaborar una
norma que contradiga a otra de rango superior y que esta sea aprobada, pero
vulnerara este principio constitucional.
El reglamento de desarrollo de la LOPD ha tardado ocho aos en ver la luz y

ahora resulta que algunos de sus artculos podran correr el riesgo de ser
declarados inconstitucionales por contradecir una Ley Orgnica.
La LOPD defini un mbito de aplicacin objetivo extensible a todas las

personas fsicas, siempre que no fuesen materias clasificadas, datos de
terrorismo o ficheros personales mantenidos por particulares. Sin embargo, el
RLOPD establece nuevas excepciones del mbito de aplicacin. Se puede
estar dentro del mbito de aplicacin de la LOPD y fuera del RLOPD? Parece
que esto les ocurrir a los datos profesionales o corporativos de personas
fsicas que presten sus servicios en personas jurdicas y de los empresarios
individuales cuando sean tratados como tal (y qu ocurre con las personas
fsicas que trabajen para empresarios individuales?)
Rizando el rizo, las listas de los colegios profesionales se consideran fuentes

accesibles al pblico en ambas normas. Sin embargo, como acabamos de ver,
los datos contenidos en ellas estn fuera del mbito de aplicacin del RLOPD.
Teniendo esto en cuenta, una nueva lectura del Reglamento nos revela que se
prev el ejercicio del derecho de oposicin por parte de los titulares de los
datos disponibles en estas fuentes accesibles al pblico.
Supongamos pues, que un abogado tiene un despacho en su domicilio y ejerce

el derecho de oposicin en las listas de su colegio, porque no desea recibir
publicidad. Sin embargo, una empresa de marketing podra no tener por qu
respetar esta oposicin si quisiera mandarle, por ejemplo, un fax a las 3 de la
madrugada ofreciendo muebles de oficina.

Otra divertida paradoja del RLOPD es la figura del Responsable del

Tratamiento como sujeto diferenciado del Responsable del Fichero y del
Encargado de Tratamiento. El Reglamento ha querido dotar de autonoma a
esta figura sin llegar a definirla concretamente (art. 46.2 RLOPD). Esta
ambigedad termina careciendo de sentido cuando acudimos a la LOPD y
comprobamos que las figuras sujetas al rgimen sancionador son
exclusivamente el Responsable del Fichero y el Encargado de Tratamiento (art.
43.1 LOPD).
Aceptando este tratamiento diferenciado, podramos concluir que el

irresponsable del Tratamiento es la nica figura que no tiene responsabilidad,
lo que resulta especialmente jocoso ya que es la figura de mayor
responsabilidad.

10. Por qu no se aplica una auditora informtica? (con

ejemplos)
Hasta ahora todo lo escrito no dejan de ser argumentos a como se hace una
auditora, ventajas e inconvenientes de sta, los productos obtenidos, pero una
vez analizado todo lo anterior llegamos al momento de tomar medidas es
decir, si algo se sta haciendo mal, debera de empezar a hacerse bien porque
sabemos que puede mejorarse. Pero realizar cambios en una empresa para
adaptarse a un nuevo modelo o para mejorar el rendimiento de una instalacin
no es todo lo sencillo que la direccin de la empresa piensa. Veamos algunos
ejemplos:
- Migracin de bases de datos. No voy a entrar en marcas pero todo el que

ha trabajado en proyectos de larga duracin o de mantenimiento ha visto
llegar el momento en que la base de datos llevaba demasiado tiempo
obsoleta, y el problema del tiempo de acceso a sta ya no era el nico
problema, sino que empezbamos a hablar de incompatibilidad con nuevos
mdulos instalados. En este momento la poltica de mientras funcione,
vamos bien se encuentra completamente sitiada y se ve obligada a ceder,
momento en el cual, se debera preparar todo un proyecto para llevar a
buen trmino la migracin, servidores nuevos con imgenes de la base de
datos actualizada, turnos nocturnos para hacer el cambio y afectar lo menos
posible al funcionamiento de la aplicacin, varias pruebas en servidores de
prueba, pero en el momento de cambiarlo todo siempre hay problemas, y es
el momento en que hay que tomar decisiones rpidas, se prueban varias
configuraciones con el mismo resultado, y despus de horas de trabajo y en
funcin a la preparacin de las personas designadas para el cambio, se
optar por vas intermedias que permitan el funcionamiento de la aplicacin
con el resultado de haber mejorado en parte el rendimiento de la aplicacin
con la nueva versin instalada, pero con montones de fallos de seguridad
debido a los problemas de la instalacin. Esta instalacin produce dos
consecuencias directas en la direccin para futuras instalaciones: Esperar
a una nueva versin de la aplicacin para la nueva instalacin de bases de
datos o asignar un mayor presupuesto en tiempo y dinero para la prxima
migracin. Es decir si la auditora te adverta de los problemas de una base
de datos esos problemas se pueden haber sustituido por otros, y desde la

direccin no quieren desperdiciar el dinero de la empresa, por lo que en la

prxima auditora se tomarn de otra los problemas de bases de datos.
- El centro de proceso de datos (CPD) posee una seguridad relativa ya que

pese a que se debe tener una llave para acceder a l, la puerta permanece
abierta la mayor parte del tiempo y con la llave puesta. Este caso se ve
mucho en empresas no muy grandes donde el CPD no deja de ser el
cuartito donde suelen estar los de sistemas cuando no estn en su mesa.
Desde la direccin de la empresa pueden considerar que este tema es muy
importante y tienden a realizar un gasto en seguridad del tipo tarjetas
magnticas que no siempre es la mejor solucin, es decir, el CPD requiere
de refrigeracin, por ello siempre suele tener aire acondicionado propio,
pero cuando tiene que realizar cambios la persona de sistemas tiende a
dejar la puerta abierta para poder salir cargando cosas o simplemente para
no enfriarse demasiado dentro de la habitacin, estas habitaciones deberan
de ser amplios espacios donde circule el aire sin problemas, pero
normalmente son cuartos donde los servidores se apilan unos encima de
otros y donde poder dar 3 pasos en lnea recta se convierte en complicado,
con todo esto lo que quiero decir, es que la seguridad es muy relativa, ya
que si no se entiende el problema desde su base no se pueden tomar las
medidas adecuadas, es por ello que deben hablar todos los elementos
implicados en cada cambio para hacer las cosas en la direccin adecuada.
De poco sirve usar tarjetas magnticas en vez de llaves para abrir puertas si
las puertas permanecen abiertas, de poco sirve ampliar el cuarto del CPD
con 2 armarios contiguos a este, si la alimentacin de ese nuevo espacio
queda fuera de l pudiendo cualquier persona desenchufar un servidor para
cargar su mvil, son casos tpicos que he vivido, y por desgracia son mas
frecuentes de lo que parecen, aunque la direccin entiende de este asunto
que el problema no es la coordinacin sino el hacer caso a la auditora.

- La seguridad respecto a visitas tiene fisuras de seguridad. Es decir, llega

una persona nueva a la empresa, se toman datos de esa persona, pero
luego solo se le indica donde debe ir sin acompaarle. En una empresa
grande suele darse mucho este caso, y el problema est en que en esa
distancia la persona puede optar por ir en otra direccin en base a sus
intenciones, si alguien ajeno a la empresa atraviesa la puerta, debera ser
acompaado hasta su destino por la persona que va a ver, o por alguien de
seguridad. La direccin entiende normalmente que este peso debe caer
sobre los empleados de la empresa en general y sobre los agentes de
seguridad en particular, el resultado final suele ser que los agentes hacen
este trabajo o directamente se mantiene la poltica de indicar a la persona
hacia donde debe dirigirse. Nuevamente la culpa se le hecha a que la
auditora no fijaba correctamente como hacer las cosas y por tanto es mejor
no darle tanta importancia.
- Para finalizar hablar un poco del uso de metodologas que en muchas

auditoras se recomienda para mejorar la calidad y rendimiento de los
proyectos de la empresa. No estoy hablando de obtener una certificacin,
sino de seguir una metodologa, es decir, algo tan sencillo como fijar hacer
unas cosas en unos tiempos y en base a un esquema, generando la
documentacin necesaria en cada momento. En resumen, estructurar y
hacer el proyecto en base a esa estructura puede ser algo muy til o una
verdadera perdida de tiempo debido a la poca implicacin por parte de los
empleados. El equipo debe estar realmente implicado en seguir la
metodologa, en caso contrario, el proyecto fracasar o sufrir un retraso
muy importante incluyendo el sobreesfuerzo del equipo. La direccin suele
intentar implantar esta recomendacin en diferentes proyectos y al ver como
se tuercen estos proyectos opta por continuar como haban realizado hasta
ahora, ya que la idea de siempre lo hemos hecho as saben que da
resultados ptimos, y finalmente las metodologas terminan por ser
abandonadas por orden directa de la direccin con el objeto de no perder
ms dinero con ello.

11. Soluciones para afrontar el resultado de una auditora

informtica.
Una auditora informtica por norma siempre saca a la luz las debilidades de la
empresa siendo entonces los dirigentes de la empresa los que deben valorar
las prioridades para hacerse cargo de cubrir esas debilidades.
Primeramente debemos enfocar la auditora informtica que vamos a realizar,

es decir, no podemos decir a una empresa, auditarnos al contrario, debemos
mentalizarnos de qu parte es la que queremos valorar principalmente en la
empresa, si queremos publicitarnos demostrando que seguimos unos cdigos
tipo muy exigentes de acuerdo a la LOPD debemos solicitar que se nos audite
orientados en ese camino, si en realidad queremos analizar las brechas de
seguridad, deberamos enfocar la auditora a este campo, incluso si lo que
queremos es analizar una gestin adecuada del desarrollo software, es decir,
generar un conjunto de directrices que consten de una serie de mdulos que
expliquen en detalle cmo la entidad puede sacar mayor provecho de sus
recursos informticos, ese debemos indicar que es el cometido de la auditora.
Estas disciplinas informticas estn entrelazadas y son mutuamente
dependientes, por lo cual deben plantearse de forma aislada pero sin olvidar la
influencia que cada una ejerce sobre las otras.
Una aplicacin de principios informticos le permite ofrecer operaciones de

Gestin de Servicios Informticos completamente integrados a sus clientes
tanto internos como externos.
Veamos ahora los distintos aspectos a tratar despus de una auditora

informtica.

A. Seguridad y Proteccin de la Informacin
ITIL representa mucho ms que una serie de libros tiles sobre Gestin de
Servicios TI. Un marco de mejores prcticas en la Gestin de Servicios TI
representa un conjunto completo de organizaciones, herramientas, servicios de
educacin y consultora, marcos de trabajo relacionados, y publicaciones. Las
disciplinas de Gestin de Servicios que se encuentran en el corazn de ITIL
encajan en dos grupos diferenciados:
Soporte de Servicio
Este grupo se centra en la actividad y el apoyo cotidianos de los

servicios informticos.
Centro de Atencin al Usuario

La funcin del Centro de Atencin al Usuario (CAU) es la cara de
la informtica ante sus usuarios, por lo que es de vital
importancia en toda entidad. El personal del Centro de Atencin
al Usuario registra, resuelve o eleva y cierra todos los incidentes.
Asimismo brinda asistencia tcnica de primera instancia en un
nivel superior, y propone iniciativas de mejora de servicio y
reduccin de costes. Es esencial para el buen desarrollo del
negocio que los clientes y usuarios perciban que estn recibiendo
una atencin personalizada y gil que les ayude a:
Resolver rpidamente las interrupciones del servicio.

Emitir peticiones de servicio.
Informarse sobre el cumplimiento de los SLAs.
Recibir informacin comercial en primera instancia.

Gestin de Incidentes
Gestin de Incidentes registra, clasifica, supervisa y cierra todos
los incidentes de forma controlada y homognea. Esto permite
restaurar los niveles de servicio con la mayor rapidez posible y
ayuda a reducir el nmero de incidentes nuevas. Los objetivos
principales de la Gestin de Incidentes son:
Detectar cualquiera alteracin en los servicios TI.
Registrar y clasificar estas alteraciones.
Asignar el personal encargado de restaurar el servicio
segn se define en el SLA correspondiente.
Esta actividad requiere un estrecho contacto con los usuarios, por

lo que el Centro de Servicios (Service Desk) debe jugar un papel
esencial en el mismo.
Gestin de Problemas
La identificacin, investigacin y clasificacin de problemas es
una funcin fundamental en el mbito de Gestin de Servicios
Informticos. Reduce de forma proactiva los volmenes de
incidentes y mejora continuamente la infraestructura informtica
subyacente.
Las funciones principales de la Gestin de Problemas son:
Investigar las causas subyacentes a toda alteracin, real o
potencial, del servicio TI.
Determinar posibles soluciones a las mismas.
Proponer las peticiones de cambio necesarias para
restablecer la calidad del servicio.
Realizar Revisiones Post Implementacin para asegurar
que los cambios han surtido los efectos buscados sin crear
problemas de carcter secundario.

Gestin de Activos y Configuraciones

Esto proporciona los cimientos vitales que son necesarios para la
Gestin de Incidentes, Problemas y Cambios. Registra, y se
encarga de la auditora y la seguridad de todos los elementos de
configuracin que se encuentren en la infraestructura informtica,
as como sus relaciones desde su adquisicin hasta su
obsolescencia. Llevar el control de todos los elementos de
configuracin de la infraestructura TI con el adecuado nivel de
detalle y gestionar dicha informacin a travs de la Base de Datos
de Configuracin (CMDB).
Proporcionar informacin precisa sobre la configuracin TI a todos
los diferentes procesos de gestin.
Interactuar con las Gestiones de Incidentes, Problemas , Cambios
y Versiones de manera que estas puedan resolver ms
eficientemente las incidencias, encontrar rpidamente la causa de
los problemas, realizar los cambios necesarios para su resolucin
y mantener actualizada en todo momento la CMDB.
Monitorizar peridicamente la configuracin de los sistemas en el
entorno de produccin y contrastarla con la almacenada en la
CMDB para subsanar discrepancias.
Gestin de Cambios
La funcin de Gestin de Cambios es asegurar que se emplee un
enfoque homogneo para la evaluacin e implantacin de todo
cambio a la infraestructura informtica de la manera ms eficiente,
siguiendo los procedimientos establecidos y asegurando la
calidad y continuidad del servicio. Permite evaluar el riesgo y el
impacto, as como los requisitos en lo que se refiere a recursos
asociados con los cambios propuestos. Todo esto supone las
siguientes ventajas:
Reduccin a medio/largo plazo de los costes asociados.
Mejora y consistencia de los servicios prestados.
Simplificacin de todos los procesos asociados al soporte
al servicio: Incidencias, Problemas, Cambios, Versiones,
etc.

Gestin de Versiones
La Gestin de Versiones es la encargada de disear, poner
a prueba e instalar en el entorno de produccin los cambios
establecidos, todo ello debe realizarse proporcionando un
marco sistemtico para implantaciones de hardware de
envergadura o crticas, implantaciones de software de
envergadura o conjuntos de cambios empaquetados. Tiene
en cuenta todos los aspectos tcnicos y no tcnicos de una
edicin, desde la poltica y planificacin de edicin iniciales
hasta el desarrollo, pruebas e implantacin controlados.
Todo ello nos lleva a:
Establecer una poltica de implementacin de
nuevas versiones de hardware y software.
Implementar las nuevas versiones de software y
hardware en el entorno de produccin tras su
verificacin en un entorno realista de pruebas.
Garantizar que el proceso de cambio cumpla las
especificaciones de la RFC correspondiente.
Asegurar, en colaboracin con la Gestin de Cambios y

Configuraciones, que todos los cambios se ven
correctamente reflejados en la CMDB.
Provisin de Servicio
Estos procesos tienen en cuenta la planificacin a largo plazo y mejoras

en la prestacin de servicios informticos
Gestin de Niveles de Servicio

Pretende garantizar una calidad satisfactoria de prestacin de
servicios informticos mediante la fijacin de objetivos realistas y
acordados entre el proveedor y el cliente. Mediante un proceso de
monitorizacin, emisin de informes y revisin de los niveles de
servicio reales se destacan las reas problemticas y se facilita
una mejora continua en el servicio.

Los principales beneficios de una correcta Gestin de Niveles de

Servicio son:
Los servicios TI son diseados para cumplir sus
autnticos objetivos: cubrir las necesidades del
cliente.
Se facilita la comunicacin con los clientes
impidiendo los malentendidos sobre las
caractersticas y calidad de los servicios ofrecidos.
Se establecen objetivos claros y medibles.
Se establecen claramente las responsabilidades
respectivas de los clientes y proveedores del
servicio.
Los clientes conocen y asumen los niveles de
calidad ofrecidos y se establecen claros protocolos
de actuacin en caso de deterioro del servicio.
La constante monitorizacin del servicio permite
detectar los "eslabones ms dbiles de la cadena"
para su mejora.
La gestin TI conoce y comprende los servicios
ofrecidos lo que facilita los acuerdos con
proveedores y subcontratistas.
El personal del Service Desk dispone de la
documentacin necesaria (SLAs, OLAs,etc.) para
llevar una relacin fluida con clientes y proveedores.
Los SLAs ayudan a la Gestin TI tanto a calcular los
clculos de costes como a justificar su precio ante
los clientes.

Gestin Financiera de los Servicios IT

Tambin denominado gestin de costes, este proceso brinda
informacin de gestin esencial sobre los costes de activos y
servicios informticos. Mediante un proceso que entraa
presupuestar y contabilizar, se desvelan los costes reales y as
puede demostrarse el valor que supone la informtica para el
negocio, a mayor calidad de los servicios mayor es su coste, por
lo que es necesario evaluar cuidadosamente las necesidades del
cliente para que el balance entre ambos sea ptimo. Todo ello nos
conlleva a:
Los principales beneficios de una correcta Gestin Financiera de

los Servicios Informticos se resumen en:
Se reducen los costes y aumenta la rentabilidad del servicio.
Se ajustan, controlan, adecuan y justifican (si es de aplicacin)
los precios del servicio aumentando la satisfaccin del cliente.
Los clientes contratan servicios que le ofrecen una buena
relacin coste/rentabilidad.
La organizacin TI puede planificar mejor sus inversiones al
conocer los costes reales de los servicios TI.
Los servicios TI son usados ms eficazmente.
La organizacin TI funciona como una unidad de negocio y es
posible evaluar claramente su rendimiento global.
Gestin de Capacidad
El objetivo primordial de la Gestin de la Capacidad es poner a
disposicin de clientes, usuarios y el propio departamento TI los
recursos informticos necesarios para desempear de una
manera eficiente sus tareas y todo ello sin incurrir en costes
desproporcionados. Con este proceso se pretende alinear los
niveles de servicios informticos con las necesidades actuales y
futuras del negocio. Tiene que ver con el aprovechamiento de los
recursos informticos existentes as como con procurar que los
recursos nuevos estn disponibles de forma oportuna y eficiente.
Los principales beneficios derivados de una correcta Gestin
de la Capacidad son:

Se optimizan el rendimiento de los recursos informticos.

Se dispone de la capacidad necesaria en el momento
oportuno, evitando as que se pueda resentir la calidad del
servicio.
Se evitan gastos innecesarios producidos por compras de
"ltima hora".
Se planifica el crecimiento de la infraestructura adecundolo a
las necesidades reales de negocio.
Se reducen de los gastos de mantenimiento y administracin
asociados a equipos y aplicaciones obsoletos o innecesarios.
Se reducen posibles incompatibilidades y fallos en la
infraestructura informtica.
Gestin de Demanda
La Gestin de Disponibilidad procura optimizar y racionalizar el
uso de los recursos TI, es decir, que todos los sistemas y
servicios funcionen segn se requiera y que se mantenga la
disponibilidad de forma fiable y rentable. Con el suministro y la
provisin de informacin, las empresas tambin deben considerar
la gestin de seguridad para impedir el uso no autorizado de la
informacin.
Gestin de Continuidad/Disponibilidad de los Servicios IT

Este proceso asegura que los grandes fallos producidos en
equipos o instalaciones tcnicos asociados con la prestacin de
Servicios IT se gestionen de forma eficiente y que los niveles de
servicios se restauren a un nivel aceptable en los plazos
acordados. La estrategia de la Gestin de la Continuidad del
Servicio debe combinar equilibradamente procedimientos:
Proactivos: que buscan impedir o minimizar las
consecuencias de una grave interrupcin del servicio.
Reactivos: cuyo propsito es reanudar el servicio tan
pronto como sea posible (y recomendable) tras el desastre.

Gestin de la seguridad
La Gestin de la Seguridad de la Informacin se remonta al albor de los

tiempos. La criptologa o la ciencia de la confidencialidad de la informacin se
realiza desde el inicio de nuestra civilizacin y ha ocupado algunas de las
mentes matemticas ms brillantes de la historia, especialmente (y
desafortunadamente) en tiempos de guerra.
Sin embargo, desde el advenimiento de las distintas redes de comunicacin y

en especial Internet los problemas asociados a la seguridad de la informacin
se han agravado considerablemente y nos afectan prcticamente a todos. Que
levante la mano el que no haya sido victima de algn virus informtico en su
ordenador, del spam (ya sea por correo electrnico o telfono) por una
deficiente proteccin de sus datos personales o, an peor, del robo del nmero
de su tarjeta de crdito.
La informacin es consustancial al negocio y su correcta gestin debe

apoyarse en tres pilares fundamentales:
Confidencialidad: la informacin debe ser slo accesible a sus

destinatarios predeterminados.
Integridad: la informacin debe ser correcta y completa.
Disponibilidad: debemos de tener acceso a la informacin cuando la

necesitamos.
La Gestin de la Seguridad debe, por tanto, velar por que la informacin sea
correcta y completa, est siempre a disposicin del negocio y sea utilizada slo
por aquellos que tienen autorizacin para hacerlo.

Por qu no cualquiera?
En el entorno de negocios de hoy da, las entidades tanto privadas como

pblicas no pueden sobrevivir sin servicios informticos fiables. Proporcionar y
mejorar continuamente estos servicios es el desafo diario al que se enfrentan
los profesionales informticos que pretenden mantenerse al corriente con las
necesidades cambiantes de sus clientes y usuarios, as como anticiparse a
ellas. Los servicios ligados a la informtica se han convertido en una funcin
estratgica en la estructura empresarial de cada entidad. A medida que se
asoman de las sombras donde meramente desempean la funcin de apoyo,
cada vez ms son los protagonistas en calidad de funcin que aade valor que
impulsa el negocio hacia el futuro.
Una herramienta todas las respuestas
Gestin de Servicios Informticos, ITIL brinda un conjunto homogneo de la

Mejor Prctica de Gestin de Servicios Informticos aplicables a todas las
entidades, con independencia de su tamao, y se apoya en una estructura
sistemtica de homologaciones, acreditaciones, organismos de formacin,
herramientas y consultoras.
Las ventajas principales que brinda la aplicacin de los principios de ITIL son:
Infraestructura informtica optimizada para cubrir las necesidades de negocios
existentes y previstas Coste total de propiedad (TCO por sus siglas en ingls)
permanentemente reducido, incluyendo el coste de servicio.
Mayor calidad de Servicio Informtico para aumentar la confianza en los
sistemas informticos y la prestacin de servicios.
Preparar una lista de comprobaciones para revisar regularmente ayudar a

tener claro en todo momento los objetivos de adaptarse a una certificacin:

LISTA DE COMPROBACIN PARA LA REVISIN DE REQUISITOS
CRITERIO Tipo Anotaciones SI/NO/NA
CLARIDAD E IDONEIDAD
1. Se han separado los requisitos funcionales o de capacidad de los que no lo son?

Se ha identificado el tipo de los requisitos no funcionales?
2. Es la terminologa consistente con la terminologa del usuario?

SIS
3. Son los trminos o conceptos que se utilizan claros y consistentes? Estn las
siglas documentadas?
4. El requisito es claro y sin ambigedades? se entiende? demasiado crptico o

demasiado descriptivo?
5. Es preciso el requisito? es demasiado preciso?
6. Sobra el requisito? es demasiado general? aporta algo?
7. Hay mltiples requisitos en uno? Est el requisito demasiado troceado?
COMPLETITUD
8. Proporciona el cliente la informacin suficiente para especificar lo que quiere?. Si

no es as, estn identificadas las medidas que se van a tomar? CLI
9. Es el conjunto de requisitos suficiente para especificar el Sistema/SW/HW SIS

requerido? SW
HW
10. Se ha realizado y documentado un anlisis de viabilidad? son razonables los

requisitos? son tcnicamente posibles? son econmicamente viables?
11. Se analizado el impacto si no se cumplen los requisitos?
12. Se han considerado los temas de seguridad (security, safety) del sistema?
13. Se ha evaluado el impacto del proyecto en los usuarios y en otros sistemas?

14. Estn priorizados los requisitos? es necesario?
15. Estn los requisitos correctamente priorizados?
16. Se han definido criterios para asignar niveles de prioridad a los requisitos?
17. Hay requisitos que se contradicen total o parcialmente? existe el riesgo de que
ello ocurra (repeticin, mltiples referencias)?
18. Se han definido completamente los atributos de todos los requisitos?
SIS
19. Se han definido los supuestos y las restricciones del Sistema/SW/HW?
SW
HW
ESTNDARES
20. Sigue la documentacin de requisitos los estndares establecidos para el

proyecto y la organizacin?
21. Se han recogido los requisitos utilizando las herramientas y metodologas

establecidas para el proyecto y la organizacin?
INTERFACES
22. Se han definido claramente todas las interfaces externas y sus requisitos?
SIS
23. Se han definido claramente todas las interfaces internas y sus requisitos?
SW
HW
24. Es un requisito de interfaz o un requisito funcional?
25. Estn suficientemente especificadas las operaciones de usuario?
26. Hay informacin sobre las forma de introducir datos/rdenes y presentar

mensajes?
27. La interfaz de usuario, est recogida por los requisitos? es demasiado explcita o
demasiado genrica?

MANTENIMIENTO
28. Se han definido los requisitos para el mantenimiento del Sistema? SIS
CLI
RENDIMIENTO
29. Se han identificado los requisitos de rendimiento del sistema?
FIABILIDAD
30. Existen requisitos de fiabilidad?
31. Se han definido requisitos de deteccin, reporte y recuperacin de errores?
32. Se han considerado eventos no deseados y especificadas las respuestas

requeridas?
PRUEBAS
33. Es posible definir una prueba para el requisito? es medible?
34. Faltan requisitos que faciliten la verificabilidad del sistema?
35. Se han establecido criterios de validacin para todos los requisitos? son
idneos?.
TRAZABILIDAD
36. Todos los requisitos del nivel superior se trazan a requisitos de este nivel? SIS
Existen requisitos no trazados al nivel superior? Por qu? SW
HW
SIS -> Sistemas

SW -> Software
HW -> Hardware
CLI -> Cliente

El rea de Calidad del Software permite a los proyectos medir la calidad de los
sistemas que se construyen y compararla con la calidad media de la empresa.
A partir de los datos obtenidos desde las herramientas utilizadas en el rea, se
obtienen dos informes: uno ejecutivo, cuya audiencia es el equipo de gestin
de la operacin, y uno detallado, destinado al equipo de desarrolladores.
Los resultados recopilados tanto en el informe ejecutivo como en el detallado

son obtenidos mediante herramientas que comprueban la conformidad del
cdigo fuente respecto a una adaptacin de la norma de calidad ISO-9126.
En colaboracin con los proyectos, que poseen el conocimiento funcional de

los sistemas, se elaboran recomendaciones a medida que dirigen las lneas a
seguir para trabajar los aspectos ms susceptibles de mejora.
Se proporcionan guas de buenas prcticas (reglas de codificacin y mtricas)

para que tanto los lderes de los proyectos como los desarrolladores conozcan
y entiendan qu no hay que hacer y por qu.

B. Gestin de la calidad del Software
La funcin principal del rea es velar porque el cdigo que se desarrolla tenga
una calidad mnima en funcin de una serie de reglas y buenas prcticas que
deben cumplirse. Esta comprobacin se realiza a travs de unas auditoras
que conocemos con el nombre de QA-SW internos. Estas auditoras
posibilitan:
Uniformizacin del concepto de calidad de cdigo en la empresa.

Garanta de calidad en desarrollos realizados internamente y hacia el
cliente final.
Identificacin de problemas relacionados con el cdigo desarrollado en
las operaciones.
Otra funcin es la aplicacin del proceso de auditora a cdigo que no ha sido

desarrollado y que conocemos como QA-SW a cdigo realizado por
terceros. Estas auditoras permiten:
Comparar la calidad del cdigo desarrollado internamente frente al

cdigo desarrollado por otros proveedores.
Identificacin de oportunidades en clientes.
Identificacin de reas de mejora en cdigo que hemos heredado,
facilitando su evolucin y mantenimiento.
Tanto para los QA-SW internos, como los QA-SW a cdigo desarrollado por
terceros se realizan las siguientes actividades:
Identificacin con periodicidad mensual de las operaciones objetivo de la

auditora de mtricas interna.
Ejecucin de la auditora, elaboracin y divulgacin de los resultados a
los responsables de calidad, riesgo y de la operacin y a los directores
del Mercado en el que se desarrolla la operacin.
Por el momento se analizan operaciones basadas en tecnologa Java.
En un futuro se ampliar el abanico de tecnologas a desarrollos .NET.

La comprobacin de conformidad respecto a la norma ISO-9126 permite

detectar posibles problemas en funcin de una serie de caractersticas
de calidad establecidas por la propia norma: mantenibilidad, eficiencia,
usabilidad, testabilidad, reusabilidad y portabilidad.
Dentro del rea se ofrecen los siguientes servicios:
Realizacin de QA-SW internos o QA-SW a cdigo realizado por

terceros. Utilizando los criterios recomendados para un desarrollo se
realizan con periodicidad mensual auditoras a operaciones elegidas o
propuestas por los diferentes Mercados. Es un servicio que no conlleva
coste alguno para la operacin.
Realizacin de QA-SW particularizados segn el contexto establecido
por el cliente. En este caso se debe realizar un esfuerzo para
particularizar las herramientas en funcin de los requisitos del cliente
(nomenclatura, buenas prcticas, etc.). Adicionalmente se realiza un
anlisis manual del cdigo incidiendo en los aspectos desvelados por los
resultados obtenidos mediante el uso de las herramientas de auditora.
En caso de ser necesario, se apoya a la operacin en la presentacin de
los resultados al cliente final. Es un servicio que conlleva un coste
debido al esfuerzo manual que requiere, tanto para la particularizacin
de la herramienta, como para la realizacin del anlisis manual.

C. Poltica de seguridad
La necesidad de definir una poltica de seguridad es algo absolutamente

indiscutible. Las actuaciones voluntarias de un departamento de TI en materia
de seguridad siempre estarn lejos de conseguir muchos de los objetivos que
nos marcamos en esa visin multidimensional del problema. Ni la tecnologa es
el nico problema, ni evidentemente es la nica solucin.
El cumplimiento de la LOPD representa un indiscutible impulsor del sector de la

seguridad en Espaa. Aprovechar la necesidad legal de su cumplimiento para
extender el alcance de las iniciativas tomadas hacia una poltica de seguridad
general mas all del estricto dato personal, es una decisin tomada por
numerosas empresas.
Resultar interesante hablar de qu pasos podemos dar para conseguir una

poltica de seguridad correcta. Existen numerosos procedimientos que
determinan la calidad de un sistema en este aspecto, BS, ISO, AENOR, etc.,
cuyos aspectos estn fuera del alcance de este captulo. Sin embargo, todos
aquellos responsables de poner en marcha una poltica de seguridad saben de
la dificultad innata a la tarea de ajustar una iniciativa como sta a la
idiosincrasia de la empresa. Desde el momento en el que una poltica de
seguridad afecta a toda la compaa, a todos y cada uno de sus
departamentos, ya sabemos que nos enfrentamos a una tarea compleja cuyo
xito depende en gran medida del compromiso de los implicados en su
definicin fundamentalmente, pero de toda la compaa en general.
Fases fundamentales
Sin pretender dar un recetario, exponemos unos puntos de reflexin extrados

de experiencias de profesionales de la seguridad, y que recogen algunas de las
dificultades y mtodos para la definicin inicial de una poltica de seguridad y
acercarnos a ese compromiso deseado de la compaa. Son puntos muy
prcticos que arrojan algo de luz sobre los pasos previos necesarios a dar en
su definicin.

Establecemos cinco fases fundamentales con objetivos muy definidos, aunque

slo comentaremos las tres primeras por ser las ms orientadas a dar esos
primeros pasos organizativos:
Fase 1. Organizacin y anlisis.

Fase 2. Desarrollo de un estudio sobre las necesidades de privacidad.
Fase 3. Evaluacin de las necesidades tecnolgicas para la proteccin
de la privacidad.
Fase 4. Desarrollo de la poltica y planes.
Fase 5. Implementacin del plan.
Fase 1. Organizacin y anlisis
Esta fase supone la puesta en marcha de la iniciativa y requiere una toma de

datos bsica, as como estructurar un grupo de trabajo capaz de ponerla en
marcha.
Podemos definir ocho puntos a tener en cuenta en esta fase:
Desarrollo de una filosofa general de privacidad. Es decir,

establecer un equilibrio de consenso entre las perspectivas de bajo y
alto riesgo. Una perspectiva de bajo riesgo es aquella en la que una
poltica de seguridad est en marcha, la diseminacin de informacin
est fuertemente controlada, las polticas se establecen por tipo de dato,
todas las salidas de informacin fuera de la empresa necesitan ser
previamente aprobadas, etc. Por el contrario, una perspectiva de alto
riesgo es aquella en la que polticas no severas estn en marcha, la
informacin se controla dbilmente, existen polticas globales poco
especficas y se permite a las unidades de negocio y departamentos el
tomar sus propias decisiones sobre el uso de la informacin. Ambos
extremos delimitan una filosofa de privacidad llena de grises. Definir a
priori la filosofa ms cercana a nuestras necesidades es muy
conveniente y complicado pues, dentro de la misma compaa, existirn
departamentos ms decididos por una poltica de bajo riesgo, mientras
otros abogarn por una de alto riesgo.

Responsable de privacidad. Los ms elevados niveles de la direccin

deben apoyar los planes de privacidad ante toda la compaa. Es un
indicador de la importancia que este asunto tiene para la compaa.
Aunque el apoyo es fundamental, no es lo ms recomendable que este
nivel est involucrado en el da a da del desarrollo del plan de
seguridad. Simplemente por no ser lo ms efectivo. Un director de nivel
medio es ms adecuado para coordinar la tarea. La persona encargada
deber dedicar gran parte de su tiempo a esta tarea que, en ocasiones,
requerir una dedicacin total. Debe mantener una buena relacin con
todos los departamentos de la empresa y con los recursos externos.
Creacin del Grupo de trabajo de privacidad (Privacity Task Force).

Es necesario crear un grupo de trabajo interdepartamental liderado por
el responsable de privacidad y con representacin de todos los
departamentos de la compaa (dos por departamento, uno principal y
otro suplente). El mejor rol posible del CEO sera asegurarse de que el
grupo de trabajo de seguridad obtiene los recursos, la participacin y la
cooperacin necesarios para este desempeo. La funcin del CEO en
este sentido es la de dejar constancia de la importancia del grupo en
todos sus reportes directos, as como dar el apoyo necesario para situar
la importancia de la tarea asignada al grupo creado.
Organizacin a nivel departamental .Cada departamento deber tener

su propio equipo de privacidad que desarrolle los trabajos de
investigacin, evaluacin o implementacin, liderados por su
representante en el Grupo de trabajo. Debera constituirse con niveles
de supervisin y tcnicos.
Evaluacin de la capacidad del Grupo de trabajo. Es necesario

evaluar las capacidades y conocimientos del grupo de trabajo,
formacin, experiencia en asuntos relacionados con la privacidad, etc.
Igualmente, es una tarea a desarrollar por cada miembro del grupo de
trabajo en su grupo departamental. Identificar correctamente esto
permitir identificar necesidades de formacin y/o contratacin de ayuda
externa (legal, consultora, etc.). El objetivo es cubrir las carencias
detectadas en el apartado anterior.

Establecer el calendario de trabajo. Ser imprescindible desarrollar

una agenda de reuniones peridicas desde el primer momento, con
objetivos concretos. Una reunin de frecuencia fija ser necesaria,
adems de las que el proceder vaya marcando. Sern necesarias para
formar subcomits, identificar responsabilidades, asignar tareas entre
departamentos, etc. Los grupos departamentales debern reunirse con
la frecuencia necesaria para respetar las agendas y compromisos del
Grupo de trabajo global.
Campaa de concienciacin. La iniciativa necesita ser apoyada y

conocida por toda la compaa. Los distintos grupos de trabajo tendrn
escaso xito sin el apoyo y conocimiento de todos los empleados. Se
deben utilizar todos los medios de comunicacin interna: newsletters,
intranets, reuniones, marketing interno, etc.; as como plantear planes de
formacin al respecto para las nuevas incorporaciones y para los
empleados.
Establecer el escenario para el inicio del estudio de necesidades de

privacidad. Notificar a los empleados el tipo de informacin que ser
necesaria recoger en el inicio del estudio (a acometer en la siguiente
fase).
Fase 2. Desarrollo de un estudio sobre las necesidades de

privacidad
La compaa debe comenzar a conocer los diferentes tipos de datos e

informacin que almacena y utiliza. Esta fase ayuda a la compaa a identificar
esos datos, determinar su origen, establecer cmo deben ser utilizados,
identificar de qu forma y cmo se diseminan. Adems, este proceso ha de
identificar aquellas leyes y regulaciones gubernamentales y requerimientos
internos que pueden gobernar la forma en la que se recogen y difunden esos
datos.

Establecer un sistema de inventario de datos
Apoyarse en una base de datos es una herramienta til para almacenar la

informacin recogida. Probablemente, los campos indicados constituyan una
buena base de partida para la construccin de dicha base. El inventario ha de
ser lo ms profundo posible. Ninguna compaa debera tener una falsa
percepcin de seguridad como fruto de un inventario de datos incompleto. Es
muy comn leer en el peridico un caso concreto sobre problemas de
privacidad de un determinado tipo de datos y prematuramente concluir con que
no somos vulnerables. Los campos de esta base de datos bien podran ser:
descripcin del dato, departamento responsable, fuente, sistema donde reside,
dnde residen copias en papel, cmo y dnde se utilizan internamente, cmo y
dnde se distribuyen, poltica existente sobre el uso de datos, leyes al respecto
del uso de esos datos, incidentes previos respecto a su uso, notas del grupo de
seguridad sobre esos datos, etc.
Puesta en marcha del proceso de inventario
Son muchas las fuentes de datos que hay que considerar. Cada departamento
debe determinar qu tipo de datos recoge, crea o utiliza. El grupo
departamental debe proporcionar esta informacin al grupo de seguridad. Las
compaas no deben presuponer que el departamento de TI conoce todos los
datos utilizados por los dems departamentos o unidades de negocio.
Los almacenes de datos surgen como setas en las compaas. Por ejemplo,
ficheros de los usuarios, ficheros de los proveedores, del canal de partners,
registros desde el web site, registros de empleados, ficheros de I+D, ficheros
de suscripcin para newsletters corporativas, etc. En cualquier caso, las
compaas deben ser muy realistas en este aspecto, ya que todos los
departamentos y unidades de negocio se sienten como propietarios absolutos
de esos datos. Hay una barrera cultural al cambio. Existe una tendencia
observada en el tiempo a no cooperar totalmente con las iniciativas de mbito
global. La mejor herramienta para conseguir esa profundidad en el anlisis de
los datos puede que no sea enviar un formulario enorme a cada supervisor
para que sea completado, sino una aproximacin ms de concienciacin en la
que tanto supervisores clave como expertos tcnicos son encuestados sobre
cmo son manejados los datos.

Tres puntos de la estrategia global puesta en marcha pueden ayudar a vencer

resistencias:
1. Campaa de informacin interna sobre la importancia de la privacidad,

realizada en la fase anterior, proporcionando al empleado una forma de
proporcionar feedback sobre vulnerabilidades potenciales de la
privacidad.
2. Comenzar el proceso formal de inventario de datos.
3. Crear y distribuir una encuesta a los empleados clave para recoger

sus entradas sobre la vulneracin de la privacidad.
La compaa puede triangular estas tres fuentes de informacin y obtener

valiosa informacin mientras construye el inventario de datos.
Existencia de polticas previas
Existe ya alguna poltica previa asociada a determinado tipo de dato?

Incluso cuando no se haya identificado como poltica? Si existe, es el
momento de recogerla, ya est escrita o no, para su posterior anlisis por el
grupo de seguridad. Este proceso debe examinar si las polticas existentes no
contradicen las nuevas. No se deben cambiar las existentes si se adaptan bien
a las nuevas.
Leyes actuales. LOPD

Existe una normativa especial que gobierne el manejo de los datos que
manipulamos? La asesora legal es un aspecto muy importante para evitar
posibles malas interpretaciones o acciones incorrectas en lo que respecta a la
normativa existente.

Asesora y cobertura de seguros

Se deben estudiar las ofertas de compaas de seguros en materia de
coberturas por interrupcin de actividad y/o violacin de privacidad. Las
grandes compaas suelen tener un departamento de anlisis de riesgos, bajo
cuyo paraguas caera la responsabilidad de evaluar los riesgos y las coberturas
de los seguros asociados.
Identificar problemas de privacidad pasados y presentes

Desafortunadamente, muchas compaas no comienzan a tomarse en serio la
seguridad hasta que existe algn incidente. El grupo de trabajo debe ser
informado sobre cmo se actu en este sentido. El mayor obstculo se
presenta cuando se recurre a la memoria institucional y vemos que los
implicados en el problema ya no estn en la compaa o que la memoria tiende
a ser muy selectiva.
Revisar polticas de seguridad y problemas de los partners de negocio

Podramos ser vulnerables por las prcticas de nuestros proveedores, canal,
etc.? Estos partners de negocio deben ser informados de la puesta en marcha
del plan. El mayor obstculo es conseguir su cooperacin, la que depender en
gran medida del nmero de partners y la capacidad de influencia en sus
procesos.
Chequear la reputacin entre organismos jurdicos especializados

Las compaas deberan contactar directamente con organizaciones jurdicas o
no jurdicas, pero con algn inters existente en indagar en la privacidad con la
que tratamos nuestros datos, y chequear si han encontrado algn problema. De
paso, aprovechar para informar sobre el desarrollo de un nuevo plan de
privacidad.
Consolidacin de resultados y clasificacin de datos

Una vez recogida toda la informacin, es la hora de consolidar en informes todo
lo correspondiente a esta fase, con especial atencin a la clasificacin de los
datos recogidos en base a criterios de sensibilidad e importancia de su
privacidad. A partir de esto, puede comenzarse a adelantar un borrador sobre
la poltica de seguridad y procedimiento en el manejo de ese tipo de datos.

Como resultado de esta fase, deberamos tener muy claro el inventariado de

datos y su clasificacin segn su sensibilidad e importancia, as como toda la
normativa legal que les afecta.
En este apartado, un subcomit del grupo de seguridad debera iniciar la

siguiente fase, en estrecha colaboracin con el departamento de TI o un
consultor externo de tecnologas de la informacin, para llevar a cabo una
evaluacin de la tecnologa que puede ayudar a mantener el nivel de privacidad
deseado.
Fase 3. Evaluacin de las necesidades tecnolgicas para la

proteccin de la privacidad
Es necesario evaluar las capacidades existentes en la empresa para operar e

implantar la tecnologa necesaria para asegurar la privacidad de la informacin
corporativa. Esta evaluacin requiere un detenido anlisis de tecnologas,
personal de seguridad, fondos para seguridad y planes de seguridad. Este
estudio debera ser llevado a cabo por un subcomit de la Task Force, en
trabajo conjunto con el departamento IT y, si fuera necesario, contar con una
consultora externa.
Las funciones de este subcomit iran orientadas a:

Asesorar al Grupo de trabajo sobre aspectos tecnolgicos.
Preparar reuniones sobre problemas tecnolgicos especficos.
Educar al Grupo de trabajo sobre el potencial y limitaciones de la
tecnologa.
Examinar las capacidades en materia de seguridad en las tecnologas
de la informacin.
Revisar problemas tecnolgicos derivados de las necesidades de
privacidad detectadas en la fase anterior.
Revisar los procedimientos y planes de seguridad de la informacin
existentes.
Testear la seguridad de la tecnologa de la informacin.
Ayudar en las pruebas sobre las debilidades existentes en los
procedimientos en torno a la privacidad.

Las tecnologas sobre las que tenemos que reflexionar en cada uno de los
aspectos necesarios se pueden clasificar perfectamente en:
1. Tecnologas para la proteccin de la informacin almacenada en

sistemas.
2. Tecnologa para la proteccin de los datos en trnsito.
3. Tecnologa para la proteccin de las comunicaciones de voz.
4. Tecnologas para la proteccin fsica de las copias de informacin.
5. Tecnologa para el cumplimiento de las especificaciones de Puerto
Seguro (Safe Harbor).
En este punto resulta fundamental conocer lo que la tecnologa nos ofrece y

seleccionar los elementos que nos permitan afrontar cada uno de estos
aspectos.
En cualquier caso, es IMPRESCINDIBLE que el subcomit tecnolgico del

Grupo de trabajo revise las capacidades, conocimientos y certificaciones de
todo el staff responsable de la gestin de la red y control de los productos de
software, y recomendar formacin adicional si fuera necesario. En trminos
tecnolgicos, los sistemas se constituyen tan seguros como los conocimientos
de las personas que los operan. No caigamos en el repetido error de dar la
operacin de determinados sistemas a personas inexpertas o sin la debida
formacin. Todos los sistemas requieren ser operados por personal cualificado
y certificado. No descuidemos este aspecto que la experiencia nos ensea, ya
que puede ser fuente de posteriores problemas o vulnerabilidades en la
integridad del sistema.

12. Definicin de una aplicacin que afronta este problema:
Todo lo expresado hasta el momento en esta publicacin puede parecer mas o

menos interesante, pero una solucin al problema que estoy dejando entrever
es la creacin de una aplicacin que sea capaz de controlar que en una
empresa se estn siguiendo una serie de rutinas recomendadas bien por una
auditora, bien por ser procedimientos definidos en base a la experiencia de los
departamentos de la empresa; muchas veces la direccin de las empresas
entregan el control de esta tarea al departamento de sistemas y en caso de
empresas de mayor volumen al departamento de calidad.
Mi propuesta consiste en una combinacin de auditora informtica, del modelo

COBIT y la estandarizacin de procesos como en las certificaciones del tipo
CMMI, todo ello acompaado de la experiencia del departamento de sistemas
que instale esta aplicacin en su empresa y que podr aportarle el software o
datos que considere necesario. La idea es crear una aplicacin que sea capaz
de testear a una empresa desde su red hasta el control de procesos en base a
su metodologa software detectando que tareas no se estn realizando,
localizando los fallos de seguridad existentes, aportando nuevas ideas para
generar una mayor seguridad y eficiencia en la empresa, as como localizando
en que puntos un proyecto no esta siguiendo las pautas correctas que pueden
llevar a un fracaso de este tanto en tiempo como en costos. Todo ello
combinado con el constante control de que todo siga realizndose tal y como
se ha definido por los responsables de rea, e informando de su
incumplimiento a los responsables definidos previamente.
La aplicacin Control Informtico de Auditoras (CIA de ahora en adelante)

responde a todas estas necesidades de una manera centralizada e indexada,
es decir, combina el funcionamiento de varios programas software registrando
y testeando sus resultados para informar en caso de anomalas, tambin
gestiona la documentacin de cualquier proyecto informando de si se esta
siguiendo los procedimientos de la manera adecuada y con los datos
adecuados. CIA permite el acceso a toda la informacin en cualquier momento
siempre y cuando se disponga de los permisos adecuados.

Disponer de un mdulo de control multipuesto proporcionar un apoyo

fundamental para los departamentos de calidad, de sistemas o los jefes de
proyecto, puesto que permite canalizar buena parte de los procesos y controles
diarios, adems de una mejora significativa para los usuarios de los recursos
de la empresa, ya que se sientan las bases para poder obtener la obtencin de
certificaciones en base a la realizacin de procedimientos en los proyectos, y
controla los niveles de seguridad y eficiencia de la red de la empresa con
atencin especializada desde la propia empresa.

Este mdulo de control multipuesto gestionar las agendas de los usuarios

poniendo especial atencin a incluir en ellas citas para (recordar) la
realizacin de procesos como son: Realizar Back-ups, mantener actualizado la
documentacin de los proyectos, control de los hitos de cada proyecto, control
de licencias y equipos, el mdulo ser la puerta de entrada a partir de la cul
los usuarios podrn acceder a estos servicios, ofreciendo la lista de incidencias
diras, de tareas a realizar por el usuario, y todo lo relativo a los equipos y
profesionales que dependen de ellos.
La inclusin de todas las agendas en el mdulo, permitir que desde cualquier

punto se pueda obtener un informe del estado actual de la empresa, o de cada
uno de los eslabones que la componen pudiendo realizarse una nueva consulta
o prueba diagnstica en cualquier momento.
El usuario puede solicitar un informe del estado actual de la red para una hora
determinada, y la aplicacin realizar los procesos pertinentes para la
obtencin de ese informe de manera automtica, adems, al integrarse con el
servidor de correo, permite al usuario concretar con ms personas la
realizacin del informe para organizar una reunin e incluso que estas
personas puedan solicitar nuevos diagnsticos actualizados para la reunin.

La integracin de las agendas para facilitar el acceso a las mismas no es

obstculo para que su gestin contine descentralizada y bajo la
responsabilidad de las unidades que hasta ahora han estado realizando esta
tarea.
Con el fin de garantizar el xito de la aplicacin, no basta con tener la

tecnologa ms puntera, sino que hay que tener en cuenta otro tipo de factores
tales como son el modelo organizativo, el modelo metodolgico, la adecuada
gestin del cambio, el compromiso firme de todos los departamentos
involucrados en el proyecto, etc., siempre asegurando la mxima motivacin de
los distintos colectivos que utilizarn el sistema.
Podemos invertir mucho dinero

en tecnologa y sin embargo no
estar mejorando nuestra situacin
actual, debemos adaptarnos a los
requerimientos del entorno
El proyecto deber contar con el liderazgo de representantes al ms alto nivel

de la organizacin, as como disponer de un equipo de trabajo interno, capaz
de desarrollar un criterio propio y de proponer decisiones en base a las
recomendaciones u opciones presentadas por el equipo de proyecto.
Para que sea eficaz, el proceso participativo deber estar guiado, de modo que
se identifiquen claramente los pasos a seguir y la funcin de cada uno de los
intervinientes. Aqu la labor del departamento de sistemas y de los jefes de
equipo de todos los proyectos es ms que importante ya que su experiencia
fijar el ritmo de la implantacin y la direccin a seguir en cada momento.

En este sentido, entendemos que el papel de este grupo en el proyecto debe

caracterizarse por:
Aportar soluciones y modelos estndar de mercado que sirvan de punto

de partida a los procesos de especificacin de requisitos y toma de
decisiones. En general no se trata de inventar nuevas soluciones
tecnolgicas, sino de encontrar la mejor combinacin de elementos que
cubra las necesidades de la empresa.
Proporcionar el equipo de trabajo con los niveles de especializacin

tcnico y funcionales necesarios para elaborar, a partir de los requisitos
y necesidades detectadas, los trabajos de detalle que conduzcan a la
implementacin final del sistema.
Aportar un punto de vista prctico. Las soluciones propuestas deben ser

realistas y orientadas a su posterior implantacin, teniendo siempre
presente no slo la bondad de dichas soluciones desde el punto de vista
tcnico, sino tambin su adecuacin a las caractersticas particulares de
la empresa, as como la viabilidad de su implementacin en la
herramienta software seleccionada SAP y su mantenimiento posterior.

Objetivo del programa
- Localizar vulnerabilidades del sistema de informacin.

- Control de nmero de licencias en uso y necesarias de la
empresa.
- Control de la actividad de los servidores de la empresa.
- Control y gestin de recursos empleados en cada proyecto.
- Control del flujo de datos en la red de la empresa.
- Control de la generacin de documentacin de cada proyecto.
- Seguimiento del cumplimiento de hitos de los diferentes
proyectos.
- Gestin documental referente a cualquier proyecto de manera
que pueda reutilizarse en el futuro como experiencia.
- Garantizar que una empresa mantiene su nivel de calidad mas
haya de posibles certificaciones obtenidas en el pasado.
mbito de la aplicacin
- Jefes de proyecto.
- rea de gerencia de la empresa.
- Departamento de calidad de la propia empresa.
- Departamento de sistemas de la propia empresa.
- Departamento de seguridad de la empresa.
- Direccin tcnica de la empresa.
- rea de gobierno de la empresa.

Por qu usarlo?
Podra nombrar varias razones para argumentar que un proyecto de este

calibre es necesario para cualquier empresa que quiera mantener el control
sobre todo lo relativo a los proyectos y seguridad de su empresa, pero prefiero
centrarme en que seamos conscientes del valor que tiene esta aplicacin de
cara a futuros clientes, es decir, al igual que el disponer de una auditora
posibilita o certificacin a una empresa para poder afrontar proyectos de una
mayor envergadura, responde a la necesidad y/o requerimientos de clientes
que desean saber que disponen de un modelo contrastado con el que se
obtienen resultados en los plazos indicados, la aplicacin CIA garantiza
mantener el control sobre todos los proyectos de acuerdo al nivel de calidad
exigido por el cliente o por la propia empresa.
Un enfoque metodolgico es la base de un buen funcionamiento siempre que

este flexibilizado con la ayuda de los responsables de departamento
adaptndose a cada momento y evolucionando con el tiempo para poder ser
integrado en la aplicacin, por ejemplo, un proyecto de 1 ao podr soportar
ms carga de trabajo en sus inicios por disponer de sus recursos al 100% pero
en periodos vacacionales no se podr disponer de ellos en un 100% y habr
que distribuir el trabajo de una manera coherente.
La metodologa exige un conjunto de mecanismos orientados a asegurar el

cumplimiento de las caractersticas enumeradas. Estos mecanismos son los
siguientes, y que se definen al inicio del proyecto:
Definicin de las herramientas de trabajo y acuerdo sobre su forma de

uso.
Definicin de estndares de documentacin y comunicacin interna del

proyecto, previo acuerdo de los miembros del Comit de Seguimiento y
Direccin Operativa.

Seguir un mtodo para el Desarrollo de Proyectos como por ejemplo

Mtrica V3, cuya misin principal es proporcionar a la compaa y a los
jefes de proyectos un instrumento eficaz para desarrollar los diferentes
tipos de proyectos que se realizan en ella, culminndolos
repetitivamente con xito.
El Mtodo es aplicable a los proyectos tanto internos como para clientes

externos y facilita la gestin multiproyecto en la compaa.
El Mtodo para la Gestin de Proyectos lo componen:
o Un manual corporativo, que presenta y explica las etapas, fases,

procesos y pasos recomendados para la aplicacin del Mtodo, al
tiempo que proporciona listas de comprobacin para cada una de
las fases del ciclo de vida del proyecto y formatos estndar para
la documentacin y transmisin de los datos clave del proyecto.
o Una carpeta de guas, tcnicas, herramientas y normas

aplicables, aplicables a la gestin de proyectos corporativas, del
rea y unidad de negocio.
El Mtodo para la Gestin de Proyectos Mtrica V3 es consistente con

los estndares marcados por el Project Management Institute (PMI) en el
Project Management Body Of Knowledge (PMBOK), que acta de facto
como norma internacional para la gestin de proyectos.
PMI es la organizacin internacional de referencia para quienes se

dedican profesionalmente a la gestin de proyectos. Cuenta con ms de
200.000 miembros en 150 pases.
PMI establece estndares para la gestin de proyectos, organiza

seminarios, desarrolla programas formativos y edita publicaciones
especializadas dirigidas a aquellos profesionales interesados en la
calidad y buenas prcticas en el mbito de la gestin de proyectos.
Asimismo otorga certificaciones PMP (Project Management Proffesional)
a aquellos profesionales que acrediten la adecuada formacin y/o
experiencia y superen un riguroso
examen, entre otros requisitos.
Las caractersticas ms destacadas del

Mtodo Mtrica V3 para la Gestin de Proyectos son las siguientes:

o Est basado en el ciclo de vida del proyecto y dispone de listas de

comprobacin al final de cada fase del mismo.
o Promueve la aplicacin a lo largo del ciclo de vida del proyecto de

los factores de gestin contrastados por la experiencia y la
investigacin como crticos para el xito del mismo, tales como la
definicin de la misin del proyecto, la planificacin, las tareas
tcnicas o la resolucin de problemas.
o Comprende los procesos clave de gestin de proyectos en un

procedimiento integrado (Gestin de clientes, Gestin conjunta de
actividades, calendario y costes, Aseguramiento de calidad,
Gestin de configuracin y Gestin de riesgos) y facilita la
aplicacin de otros procesos complementarios o de mejora de la
gestin como Ingeniera Concurrente o Calidad Total.
o Proporciona guas y herramientas para facilitar su aplicacin.
o Es un instrumento eficaz en el mbito de la gestin de proyectos

para reforzar la integracin de las diferentes reas y personas
que intervienen en la ejecucin de un proyecto.
Mejora de los contenidos de cada Biblioteca, incluyendo ejemplos de

buenas prcticas identificados por el uso de los proyectos.
Creacin de nuevas bibliotecas de buenas prcticas demandadas por

Unidades de Gestin y reas.
Inclusin de herramientas tiles para los responsables de proyecto a la

hora de disear la estructura metodolgica de su operacin.
Debemos hacer especial hincapi en que toda la formacin que se desarrolle

sea por la necesidad directa identificada en las operaciones, para dar
soluciones concretas a necesidades productivas concretas, en el soporte y
ayuda a operaciones concretas (a la hora de poner en marcha la metodologa),
y en la accesibilidad internacional mejorada mediante el soporte multi-idioma

Ideas y Ventajas.
La idea principal consiste en sacar el mximo rendimiento de la experiencia

acumulada por los diferentes departamentos de la empresa, sus
conocimientos pueden ser utilizados en la aplicacin controlando los factores
que ellos consideran ms importantes para la empresa. Todo este trabajo
aplicado es accesible tanto por los propios responsables de los diferentes
departamentos como por los dirigentes de la empresa gracias a la
universalidad de la aplicacin, la cual permite tanto modificar los procesos y
aplicaciones que realiza de manera automtica como los resultados y partes
estadsticos que puede generar en cualquier momento.
Su universalidad se basa en la capacidad de adaptacin a los diferentes

programas del mercado, tanto para su ejecucin y obtencin de resultados.
Todo ello combinado con la seguridad ofrecida por el certificado digital, lo cual
autentica al usuario unvocamente ofreciendo los servicios de integrabilidad,
autenticidad, gestin de la informacin de cada usuario as como el no repudio
de las acciones de cada usuario.
Me gustara hacer referencia a un artculo escrito por D. Jos de Jess Angel

Angel sobre Como comprar un software de seguridad informtica donde se
resalta una y otra vez que lo que buscamos debe adaptarse a lo que
conocemos y necesitamos, para ello debemos buscar al personal adecuado
para asesorarnos y ser conscientes de los servicios que deseamos cubrir, todo
ello subrayando que no una mayor inversin econmica nos proporcionar un
producto que funcione mejor:

Muchas veces cuando se quiere proveer de seguridad a un sistema de

informacin, una de las decisiones mas difciles es decidir que tipo de
software tenemos que adquirir y que mtodo me permite hacerlo, sin
duda, la decisin definitiva depende de un estudio detallado y largo,
segn sea el tamao de la corporacin a la cual queremos proveer de
seguridad. Sin embargo en muchas ocasiones tanto se carece de los
recursos como del personal adecuado para poder realizar dicho estudio,
en muchos casos se justifica un gasto que permita realizar
satisfactoriamente todo el proceso, pero en otros muchos casos no es
posible hacer ese gasto, pero entonces, cmo proveer de seguridad a
nuestra informacin sin caer presa de los vendedores, en muchos casos
muy lejanos de la verdadera solucin.
Existe una forma no simple pero si esquemtica de cmo hacer tal

eleccin, el detalle consiste en por ejemplo haciendo la similitud a una
enfermedad, si alguien tiene una molestia y quiere resolver ese
problema adems de quedar inmune a esa y otras enfermedades,
entonces lo que hace es acudir a un mdico, pero quedan dos opciones
mas, una mejor y otra no buen vista, la primera consiste en acudir a un
especialista que supondramos resolver nuestro problema de manera
mas contundente, por otro lado existe solo acudir a una farmacia y pedir
alguna medicina, el primer mtodo es frecuentemente mas costoso, el
segundo es muy riesgoso y en muchos casos contraproducente.
[]Despus de todo esto el mdico en base a su experiencia y

preparacin emite un diagnstico del posible mal y dictamina que
medicamentos debemos de ingerir, y de que forma debe de ser
administrado.
Pues bien, en el caso de la seguridad de la informacin es algo parecido

a este proceso, el comprar un producto que cure nuestros problemas
de seguridad es similar a comprar los medicamentos que debemos de
ingerir para curar alguna eventual enfermedad y/o prevenirla. Entonces

el problema es contratar a un doctor que nos proporcione un

diagnstico y a partir de ah nos recomiende que tipo de solucin
necesitamos, es claro, que quiz en muchos casos no es rentable
realizar esto, por lo tanto por mientras no podamos conseguir a un
profesional de la seguridad de la informacin, tan fcil como un mdico,
quiz baste que el encargado actual de nuestro sistema haga ese
trabajo. Entonces, que mtodo tenemos que seguir para poder comprar
la solucin adecuada a nuestro problema, pues bien al igual que en el
caso mdico primero debemos identificar que enfermedad tenemos o
cuales son nuestras debilidades para as fortalecerlo. Como en el caso
de la salud de un humano hay veces que es muy difcil saber que
enfermedad se tiene e incluso si es una enfermedad totalmente
desconocida o nueva, as mismo en el caso de la seguridad de la
informacin existen enfermedades que aun no se conocen o que son
muy complicadas. Sin embargo hay otras que estn muy bien
identificadas y pueden ser curadas satisfactoriamente, este tipo de
enfermedades de la seguridad de la informacin tienen ya una
medicina conocida y efectiva. Entonces el principio para poder tener
seguridad en la informacin, lo bsico es saber si tenemos esas
enfermedades ya conocidas y entonces podremos administrar con
seguridad la medicina que es efectiva ya en ese caso.
Pues bien es un grave error sin saber que tipo de problema tenemos
decidamos comprar una medicina, es decir, un producto que se nos
ofrece por alguna otra razn.
As tambin es un error muy frecuente que quienes venden algn

producto desconocer por completo para que sirven realmente y en
muchas ocasiones superestimar o equivocar lo que realmente hacen los
productos.

Bien, entonces el mtodo que se sugiere es reconocer que

enfermedades tiene nuestro sistema y as poder adquirir el producto
que sea efectivo para tal caso. Algunas de las similitudes a
enfermedades conocidas de la informacin son; no tener
confidencialidad, no tener integridad de datos, no autenticar al usuario,
el no poder rechazar la autora de un mensaje, el controlar el acceso, la
confirmacin de una accin, etc. Adems de saber que mal tenemos
que curar tambin tenemos que saber donde esta localizado y que tan
grave pueda ser, quiz no sea necesario ni una curita, de forma similar,
a que como todos sabemos siempre en nuestro cuerpo existen bacterias
malignas que sin embargo si la poblacin no es considerable, entonces
no representan problema alguno
Lo anterior representa el lenguaje actual de la seguridad de la

informacin, as pues dado algn sistema de informacin nuestro
primer paso es identificar que tipo de problema de seguridad
podemos tener y as comprar el producto exactamente necesario
y/o realizarlo uno mismo.
Veamos un ejemplo:
Este ejemplo se refiere a un sistema que todo mundo conoce, as poder

identificar ms fcilmente que tipo de problemas de seguridad tenemos.
Entonces veamos el escenario de un cajero automtico (ATM), en este
caso dividamos el sistema en tres partes, la parte del cliente, es decir
donde fsicamente tenemos al cajero automtico, la parte de la
transmisin de la informacin, y la parte del banco, que es donde se
procesa la informacin que se enva desde el cajero.
En el caso del cajero tenemos los problemas o las eventuales

enfermedades de, control de acceso (permitir con seguridad que un
usuario entre con seguridad al sistema del cajero), el problema de
autenticacin (como poder estar seguro de que el poseedor de la
tarjeta es el dueo), el problema de el no repudio (como estar seguro
de que un cliente no pueda negar que efecto una operacin, por
ejemplo que retiro efectivo), etc.

Ahora en el caso de la transmisin de la informacin, sta en general se

lleva acabo por medio de micro-ondas y se trasmite de una antena del
cajero a otra antena en el banco. En este caso los problemas existentes
son primero la confidencialidad, es decir como estar seguro que la
informacin enviada viajara sin ser vista por personas no autorizadas,
tambin tenemos el problema de la integridad, es decir que nos
garantiza que la informacin no vaya ha ser cambiada, modificada o
borrada, etc.
Para la tercera parte, los problemas son primero el verificar la

autenticidad del origen de la informacin, es decir como saber si
realmente la informacin que llega es de un cajero real, adems si la
transaccin solicitada sea realmente la que se solicita. Otro problema
mas es la autorizacin del banco, as como que el banco no pueda
rechazar la operacin que autorizo, etc.
Los problemas anteriores o enfermedades que pudiera tener nuestro

sistema tienen solucin, es decir hay tratamiento para ello, y entonces
poder adquirir un producto o una marca de medicamento que cure
estas enfermedades.
Existen dos problemas entonces como saber que tipo de

enfermedades eventuales puedo tener, y que producto medicina hay
para poder curarlo.
Por ejemplo:
1) El problema (la enfermedad) de la confidencialidad en la transmisin

de la informacin por un canal inseguro, se puede resolver si existe en
ambos lados de la comunicacin un algoritmo simtrico que cifre la
informacin antes de salir del origen y que la descifre en el momento en
que llegue a su destino. Los algoritmos usados en este caso pueden
estar en software o en hardware, y son variados los productos que lo
tienen integrado, los algoritmos ms recomendados actualmente son
TDES, RC4-128, AES. El problema de la confidencialidad tambin
puede darse por ejemplo en una base de datos permanente, donde se
desea que esta informacin deba de ser vista solo por personas

autorizadas, en este caso tambin puede cifrarse la informacin y ser

descifrada solo cuando se quiera utilizar. Este problema lo podemos
tener por ejemplo en: la transmisin de informacin por Internet, el envo
de e-mails, llamadas telefnicas, transmisin de radio, transmisin de
televisin, secretos industriales, secretos de estado, etc.
2) El problema de la Integridad, puede controlarse por medio de un

esquema que usa una funcin Hash que determina si la informacin ha
sido modificada o borrada, en este caso se toman las medidas que
proceden en el caso necesario. Este tipo de esquemas tambin se
pueden tener tanto en software como en hardware. En nuestro ejemplo
la integridad se debe de tener ya que si un usuario realiza un retiro de
300 dlares, esta orden no debe de ser alterada para el buen
cumplimiento de la cuenta del cliente. Este problema por ejemplo,
puede encontrarse tambin en voto electrnico, donde es prioritario no
alterar los resultados, en los archivos de un abogado, donde es
prioritario no alterar documentos que pueden ser evidencia para algn
litigio, en la transmisin de alguna transaccin bancaria alta, etc.
3) El problema de la autenticacin, es uno de los ms complicados de

resolver, aun actualmente, el demostrar la identidad de una persona, es
uno de los mas grandes problemas que existen, en la practica se ha
resuelto de varias formas, cuando la comunicacin es a larga distancia
como Internet la firma digital ha llegado a ser la mejor forma de poder
autenticar tanto a una persona como a una entidad, aunque existen
limitaciones y algunos problemas de adaptacin. Actualmente el
algoritmo de firma digital ms usado se llama RSA. El algoritmo de firma
digital esta contenida en un elemento que se llama certificado digital. El
problema de la autenticacin se presenta en una variedad muy grande
de aplicaciones, por ejemplo al cambiar un cheque, al viajar por avin, al
hacer algn tramite, al firmar un contrato, o simplemente al identificarse
con una autoridad, etc. En nuestro ejemplo el problema de la
autenticacin lo tenemos al demostrar que el portador de una tarjeta es
el verdadero dueo, en este caso se usa un esquema de identificacin
va un NIP, es decir si el poseedor de la tarjeta conocer el NIP que
corresponde a la tarjeta, entonces el dueo es quien teclea el NIP
correcto. Otro problema de autenticacin lo tenemos en saber de donde

provienen los mensajes, a este tipo de autenticacin se le conoce como

autenticacin del origen de los mensajes, y se resuelve con un algoritmo
MAC, por ejemplo lo tenemos en nuestro ejemplo al mostrar que los
mensajes provienen precisamente del cajero que dice ser.
4) Desde el punto de vista legal un problema muy importante es el no-

repudio, que el resolverlo representa una manera probatoria de que
alguien no niegue ser autor de ciertos actos. El no-repudio se resuelve
con la firma digital, conjuntamente con un esquema de time-stamping.
Por lo general estos servicios se contratan de forma independiente ya
que tiene que haber un elemento legal extra que lo confirme. Estos
servicios se contratan con un notario electrnico, conjuntamente con un
certificado digital. En nuestro ejemplo este problema no es resuelto, es
decir que no existen elementos probatorios legales para probar que un
usuario realizo un retiro o no lo hizo, de forma similar, no existen
elementos probatorios para que se le demuestre al banco que hizo o no
hizo alguna emisin.
5) Entre otros problemas ms estn: el control de acceso, el anonimato, la

revocacin, la confirmacin, la autorizacin, etc.
Aunque pareciera un poco distante este vocabulario al vocabulario

comercial sta es la forma ms seguras, de poder primero conocer que
tipo de problema de seguridad de la informacin tenemos, y despus de
poder adquirir el producto o la solucin exacta para poder reducir al
mnimo el riesgo que pueda tener nuestra informacin.
Algo importante, es hacer notar que en muchas ocasiones es necesario

hacer una solucin a la medida del problema que tengamos por
resolver, sin embargo en varios casos podremos ya comprar algn
dispositivo o software que este en el mercado.

Claro esta que en la mayora de los mercados es muy difcil que los
productos tengan especificaciones tan tcnicas, sin embargo el poder
hacer una mejor eleccin del producto necesario parte de poder
identificar con precisin que tipo de problema de seguridad tenemos que
resolver, de la misma forma que poder encontrar a un vendedor que
tenga los conocimientos adecuados para poder identificar bien la
solucin de nuestro problema concreto.
Vale comentar que quiz para una sola PC o un pequeo sistema si

podamos evitar tal anlisis, y quiz solo con un antivirus, un firewalls, la
buena eleccin y administracin de passwords y eventualmente con un
certificado digital podamos contar con la seguridad ptima.
Finalmente me gustara destacar la idea de que la aplicacin pese a utilizar

varios programas, los cuales generan sus propios informes, permite al usuario
preparar una plantilla donde meter esos informes de un manera legible y
comparativa, es decir, tanto si genera un pdf, como un texto plano como unas
grficas, la aplicacin da la posibilidad al usuario de tratar los datos de la
manera que considere mas interesante para l, de esta manera, la aplicacin
almacenar la informacin que resulte realmente til para solucin de futuros
errores o generacin de partes estadsticos de rendimiento.

13. Experiencias previas del alumno.
Durante 3 aos he trabajado principalmente como becario de sistemas en

varias empresas e instituciones y quisiera compartir algunas de las
experiencias obtenidas de estos trabajos:
Trabaj durante 2 aos en una importante institucin acadmica como becario

de redes y telefona. En aquella institucin se intentaba llevar un control con
ms o menos eficiencia de las incidencias informticas producidas por los
usuarios o el propio servicio de informtica, la aplicacin se encontraba en su
segunda versin por lo que presentaba una serie de herramientas realmente
tiles como puede ser el caso de no solo buscar incidencias nicamente por
usuario si no tambin por despacho, o tipo de incidencia, o combinacin de
otros parmetros. Hasta aqu, es lo que esperamos de cualquier servicio de
informtica de cualquier empresa o institucin de un tamao medio-grande.
Pero ahora definir problemas detectados, como se dieron lugar a ellos y como
se detectaron:
- Al comenzar mi trabajo se me inform de que exista una 2

aplicacin donde se actualizaban los datos de todos los edificios
de aquella institucin en lo referente a las rosetas de datos y
telfono. Adems, coincid durante un mes con un tcnico que me
inform de adems una hoja de clculo donde se recogan los
datos de los 3 edificios de los que yo me haca cargo con el nico
fin de que el resto de la gente perteneciente al CAU pudiera
conocer si en caso de que un usuario les preguntase por la
conexin de una roseta, ellos pudieran responder si tena
conexin y cual era la direccin IP que deban configurar para el
ordenador. Cual sera mi sorpresa cuando despus de realizar el
proceso por duplicado durante 10 meses, cuando hablando con
m responsable de las comunicaciones de datos de toda la
institucin, me dijo que desconoca dicha hoja y que dejara de
introducir datos en ella por temas de seguridad. Mi responsable
no estaba informado de tal hoja, y de hecho quera que no
existiera tal hoja, por lo que se comunic con el jefe del servicio

de informtica de mi rea quien respondi que siempre se haba

hecho as. Al parecer con la construccin de los edificios se
parti de este rudimentario mtodo para llevar la informacin de
las conexiones, pero ahora simplemente se mantena por inercia
y por parecer algo til para la comunicacin entre departamentos.
La falta de coordinacin entre responsables, as como la no
existencia de un manual de procedimientos haban
desembocado en esta situacin que por supuesto traera ms
consecuencias.
- La empresa que nos suministraba el servicio de conexin y datos

frecuentemente nos mandaba avisos de que algunas ips
estaban descargando contenido con derechos de autor, por lo
que solicitaban que se cortara la conexin y finalizara la descarga
de esos contenidos. Hubo un caso frecuente basado siempre en
una conexin que posea la misma MAC desde diferentes puntos
de acceso, es decir, que cada vez que acudamos a esa roseta,
no haba nunca un ordenador enchufado a ella, y que nos sirvi
para eliminar muchas conexiones que no tenan porque estar
hechas, el final result ser que una persona de mantenimiento la
cual haba llamado algunas veces solicitando al CAU informacin
sobre diferentes rosetas de diferentes despachos a donde tena
acceso en horas de trabajo, conectaba su porttil para descargar
datos con derechos de autor, esta persona fue descubierta debido
a que dej en una ocasin su porttil conectado dentro de uno de
los centros de datos donde l conectaba directamente su porttil
al conmutador el cual por defecto le daba una direccin dinmica.

- Como norma se me explic que al trasladar un ordenador de un

sitio a otro, la conexin de la roseta deba quitarse para evitar que
nadie se conectara all, este procedimiento era bastante
adecuado, pero en ocasiones se vaciaban despachos sin
informarnos, y luego eran ocupados por otras personas quienes
conectaban sus equipos en esas conexiones produciendo
problemas como ips duplicadas, u ordenadores en la red sin
antivirus y con software peligroso. En parte algunos de estos
casos no se daran de no haber existido la hoja de clculo con la
cual se informaba de la configuracin de esas rosetas.
- En general estos casos no eran comunes ya que existan tcnicos

en el servicio de informtica que formaban a los becarios para
que no dieran informacin de las rosetas a los usuarios
inicialmente, pero me reitero en que el hecho de no existir un
manual de procedimientos (que ms tarde se realiz) daba lugar
a este tipo de errores.
- Como norma, cuando se detectaba mucho trfico en un

ordenador, este era desconectado si no estaba en una lista de
servidores permitidos, este era limpiado por el servicio de
informtica y finalmente vuelto a configurar en su red. Los
ordenadores que ms sufran este tipo de cortes eran los
utilizados en stands para dar informacin a alumnos, ya que eran
objetivos fciles para transformarlos en servidores p2p, al no
tener las actualizaciones nunca al da. Ms tarde se decidi crear
una red controlada en cuanto a puertos abiertos se refiere para
estos ordenadores, as como el envo de una recomendacin
trimestral a los dueos de estos ordenadores para que los
actualizasen.

- Era curioso como se llevaba un control exhaustivo de las

conexiones realizadas en cada centro de datos, pero como no se
controlaba parte del material, es decir, de cara a conocer el
patrimonio de una institucin no se controlaban los telfonos que
se ponan, ni los que quedaban en almacn, sin embargo cuando
existi un problema de actualizacin de telfonos, la empresa que
nos suministraba el servicio de voz ofreci cambiar los modelos
antiguos por nuevos, pero al ir sustituyndolos, no se dispona
mas que de poco mas de la mitad de los que supuestamente se
tena, esto, en principio significaba que se habran ido
estropeando, y al no poder ser reparados y/o estar fuera del
periodo de garanta eran deshechos, pero sin quedar constancia
de ello, la empresa suministradora del servicio de voz fue la
mayor beneficiada de esta falta de control.
- En vista de todo lo aprendido, y observado en este trabajo, como

despedida y para mis futuros sucesores realic un manual de
procedimientos que para mi satisfaccin se utiliz para instruir a
mi sucesor. En l defina como se realizan las cosas y porque se
hacen as, ya que en muchas ocasiones el realizar las cosas
como siempre se han hecho daba lugar a la no necesidad de
realizar estas acciones, bien por ser recurrentes, o por ser en
perjuicio sin ser conscientes de ello. No tiene sentido realizar un
procedimiento si, este a su vez depende de otro departamento, y
este no es informado de ello. Solo el conocer porque se hacen las
cosas, y para que influye directamente en que estas se realicen
correctamente.
- En los servidores y centros de control, se intentaba colocar los

cables adecuadamente para que no fuera una locura despus
localizar las conexiones, pero no serva de nada todo esto si las
siguientes conexiones que se hacen no siguen este mismo
control, es decir, hay que seguir un procedimiento y no hacer lo
que venga mas cmodo en ese momento, porque si no, nos
encontramos con realizar tareas de 2 minutos en 5-10min.

Mas tarde trabaj durante ocho meses como becario de sistemas en una
consultora informtica de la que ms tarde sera trasladado a otro centro como
tcnico informtico y trabajando para la filial de una empresa internacional.
Durante esos ocho meses aprend mucho ms a fondo el funcionamiento de
una empresa en cuanto a la gestin de datos se refiere, aprend desde
configurar ordenadores en base a un estndar de la empresa hasta como todos
los das se realizaban copias de seguridad de cierta informacin,
semanalmente de otra, y finalmente una mensual de mayor tamao. Todo ello
me llev a ver las 2 caras de la moneda, es decir, puede resultar muy til
hacer cambiar a los usuarios su contrasea cada 3 meses, pero si luego la
ponan en un papel pegado al monitor, de que serva? Era importante realizar
las copias de seguridad, pero si no se comprobaban si los soportes seguan
funcionando correctamente despus de algunos aos para que las hacamos?
Intentar resumir mis experiencias en los siguientes puntos:
- Como administradores de sistemas tenamos acceso a cualquier

ordenador de la empresa, pero eso no debera de permitirnos ver
la pantalla de los usuarios en cualquier momento. Es decir, mi
responsable me explic como usar un par de programas para
utilizar remotamente ordenadores, este programa tena la opcin
de pedir al usuario que estuviera delante de su ordenador la
autorizacin, pero claro, esto es un procedimiento y no siempre
dbamos a que apareciera el requerimiento de dicha autorizacin.
de que sirve decir que seguimos una normativa si luego lo
hacemos a veces? Es como si poseemos la ISO por reciclar
todos los materiales como corresponde, pero a la hora de verdad
echamos el papel a la papelera porque nos pilla mas a mano, y
un envoltorio de un caramelo al papel de reciclaje porque nos
pilla de paso, incluso algo que no parece tan grave como no
destruir los currculos de candidatos como exige la normativa
porque hoy no funcionaba la destructora. Son detalles, es
verdad, pero si queremos que se nos certifique por hacer algo,
debemos respetar ese algo siempre, es por ello que muchas
certificaciones deben renovarse cada cierto tiempo demostrando

que siguen hacindose las cosas como en el momento de

certificarse.
- Como norma general a cualquier usuario nuevo se le daba como

contrasea inicial 123456 y se le obligaba a cambiarla al iniciar
por primera vez haciendo que esta estuviera caducada, pero todo
esto vala de poco si el usuario volva a poner de contrasea
123456 o tecleando su mismo nombre de usuario en la
contrasea porque as no se le olvidaba.
- En mi anterior trabajo ya haba sido consciente de lo que era

tener un centro de control de datos demasiado confuso por no
poner un poco de atencin a ordenar todos los cables de las
conexiones, y en esta ocasin era consciente de la locura
existente, intent organizarlo, pero se me pidi que no lo hiciera
ya que mis cambios producan parones de trabajo, y en principio
me pareci lgico, el problema vino el da que unos compaeros
confundieron 2 rosetas y en vez de conectarse a donde deban,
crearon un bucle inutilizando el 80% de la red de la oficina, ese
da durante 4 horas revis todos los servidores de la oficina sin
saber porque haba todo dejado de funcionar hasta que ca en la
cuenta de que algunos usuarios se haban trasladado de sitio, con
lo que haban modificado sus conexiones, al revisarlas una por
una, localic como una conexin independiente de ADSL, entraba
a una salida de uno de los switch, como otro servidor que deba
conectarse independientemente a la red local iba directo a otro
servidor, finalmente encontr una tercera conexin que una al
primer y ltimo switch que casualmente estaban conectados en
cascada haciendo un bucle entre todos ellos. El haber tenido
orden en los cables del centro de control, as como apuntada y
controlada todas las conexiones de la oficina hubiera reducido
notablemente estas 4 horas de bsqueda.

- Me parece interesante la idea de esta empresa de re-vender los

equipos informticos antiguos a los empleados a un coste muy
bsico para as poder deshacerse de ellos, e incluso sacarles
algn provecho pero no entiendo como ordenadores que han
sido servidores, o simplemente que han contenido software de la
empresa son vendidos con un simple formateo, en principio estos
ordenadores no van a causar problemas ya que los tienen
actuales empleados de la empresa, pero hay muchas
herramientas para sacar la informacin de los discos duros de
una manera casi gratuita para poder ver desde el cdigo de algn
programa que haya estado en el ordenador, hasta las cuentas de
correo con todo lo que esto representa en los ordenadores o el
cdigo completo de una aplicacin desarrollada en el ordenador.
- Algo que marc un antes y un despus en la empresa, y en el

control de equipos informticos fueron 2 infecciones llegadas por
el uso de pen-drive de manera sucesiva, supuestamente todos
los equipos posean un antivirus corporativo actualizado, pero
algunas veces los usuarios cancelaban la actualizacin del
antivirus para no retrasarse o lo desconectaban en algn
momento para poder utilizar algn tipo de aplicacin en ese
momento. Los usuarios eran administradores de sus mquinas y
por ello responsables de ellas, pero si los usuarios no ponan
atencin en estos detalles, y sin un software que comprobara las
maquinas, estos ordenadores estaban a merced de casi cualquier
troyano o virus. Y As fue, un usuario trajo msica en un pen-
drive con un troyano y la infeccin no tard en extenderse a la
oficina, todos los ordenadores con antivirus desactualizados
fueron infectados, a partir de ese momento se tomaron 2 nuevas
normas en la empresa. Los usb eran inutilizados para conectar
soportes de datos desde el departamento de sistemas, y
semanalmente desde sistemas se dedicaran a comprobar que
las maquinas de la oficina posean antivirus actualizado mediante
software. Hasta el momento solo se haban comprobado los
antivirus y actualizaciones de los ordenadores de la empresa solo

si una persona del departamento de sistemas acceda al

ordenador por algn problema.
- Sorprendente fue el da que recibimos un envo del servicio

tcnico que nos atenda por temas de garanta de los
ordenadores de la empresa, y para acolchar la caja del lector de
DVD del envo utilizaron papel en tiras de algunos documentos y
facturas de ellos, de primeras la idea me pareci genial, por la
manera de reutilizar papel y contaminar menos ya que el corcho
utilizado en embalajes es altamente contaminante, pero tambin
pienso que fue un error usar el papel obtenido de una destructora
con las cuchillas en mal estado lo que provocaba que no todo
estuviese cortado, adems de usar como materia prima correos
de uno de los comerciales de su empresa, ya que perteneciendo
a otra empresa pude leer, un pedido para un proyecto de otra
empresa realizado al comercial del SAT, puede parecer poco
importante, pero que yo tuviera acceso a esa informacin de esa
manera tan indirecta no era algo que debiera producirse en
condiciones normales.
- Un da la conexin a Internet de la empresa fall, el proveedor

tena problemas con uno de nuestros servidores que estaba
recibiendo un ataque y decidi cortar la conexin. El jefe de
sistemas habl reiteradas veces con el proveedor del servicio
para re-establecer la conexin, conexin que se reestableci
hasta que los tcnicos del proveedor junto al jefe de sistemas
localizaron un problema derivado de un puerto abierto en la
conexin del servidor el cual permita por una vulnerabilidad del
sistema operativo administrar el equipo, siendo este servidor
usado como servidor p2p. Quizs el control de actualizaciones de
estos servidores de una manera regular y no espordica hubiera
evitado problemas como este.

Finalmente de la consultora informtica pas a trabajar como tcnico

informtico en una filial conjunta con otra empresa internacional que se haca
cargo de un proyecto de bastante envergadura donde vi realmente la cantidad
de cosas que se hacen mal en una gran empresa, cosas como que existan
manuales de procedimientos pero que nadie los haya ledo, cosas como que
existan aplicaciones para controlar maquinas de la empresa, y nadie sabe
como funcionan porque las hizo alguien que ya no estaba trabajando con ellos,
pero que ahora mas o menos funcionan re-inicindolas :
- Como tcnico se me explic desde el primer da como dar

respuesta a las incidencias ms comunes (70% de los casos),
pero no fue hasta pasado mes y medio cuando descubr debajo
de una gran pila de papeles algunos manuales de procedimientos
para responder a las incidencias, quizs leer estos manuales
hubiera restado horas de explicaciones a mis compaeros.
- Exista una aplicacin accesible desde el wifi de la entidad con la

cual se controlaban todas las impresoras de la entidad (unas 200
en total) y nadie saba exactamente como configurarla, pero
funcionaba, un tcnico que haba trabajado all la cre cuando se
instalaron como complemento a la configuracin de la red en su
da para ahorrar problemas de desplazamiento con las
impresoras, actualmente se utilizaba de manera diaria, pero esta
aplicacin a veces no funcionaba y se saba que reinicindola una
o dos veces, volva a funcionar y permita controlar las
impresoras, aunque el periodo de reinicio de la aplicacin dejaba
sin supervisin las impresoras durante unos 20 30 minutos.
Pienso que formalizar esta aplicacin de una manera ms
corporativa y estable sera lo correcto, adems de que eliminar
su acceso desde el wifi de un lugar de acceso pblico sera
bastante mas seguro. No olvidemos que conocer el cdigo de esa
aplicacin permitira controlar posibles vulnerabilidades no tenidas
en cuenta por su creador aos atrs.

- Pasaron 2 meses hasta que me enter tambin de manera

fortuita de que exista una aplicacin para guardar las incidencias
que ocurran diariamente, aplicacin que usaban solo algunos
tcnicos sin tener muy claro su fin y no de manera regular. Solo
uno de ellos la usaba con asiduidad puesto que la aplicacin fue
idea suya y la usaba como base de conocimiento para los casos
que no recordaba como resolver o que simplemente nunca haba
visto pero algn compaero s.

14. Es la solucin una certificacin?
En otras palabras seguir un modelo prefijado como lo son las

certificaciones de calidad de desarrollo software solucionara este tipo de
problemas?
La respuesta no es ni un s ni un no por la simple razn de que lo

importante no es seguir un modelo prefijado, sino ubicar todos tus procesos
en base a ese modelo descubriendo de esta manera si no estas realizando
procesos vitales en tu organizacin, adems de organizar de una manera
coherente todo lo que realizabas antes por simple inercia. De esta manera
estaremos cumpliendo con los objetivos bsicos de una empresa de
servicios: Mantener satisfecho al cliente, y rentabilizar todo lo queque
se hace. Lo mejor es enemigo de lo bueno por ello debemos saber que es
lo que necesitamos exactamente en cada momento.
Podemos partir de realizar un SCAMPI en nuestra empresa, lo cual

identificar fortalezas y debilidades de los procesos, revelar riesgos de
desarrollo/adquisicin, y determinar niveles de capacidad y madurez. El
SCAMPI se utiliza ya sea como parte de un proceso o programa de
mejoramiento, o para la calificacin de posibles proveedores. El mtodo
define el proceso de evaluacin constando de preparacin; las actividades
sobre el terreno; observaciones preliminares, conclusiones y valoraciones;
presentacin de informes y actividades de seguimiento.

Debido a la necesidad de regularse la informacin que poseen las

organizaciones era precisa la existencia de alguna normativa o estndar
que englobase todos los aspectos a tener en consideracin por parte de las
organizaciones para protegerse eficientemente frente a todos los probables
incidentes que pudiesen afectarla, ante esta disyuntiva apareci el BS 7799,
o estndar para la gestin de la seguridad de la informacin, un estndar
desarrollado por el British Standard Institute en 1999 en el que se engloban
todos los aspectos relacionados con la gestin de la seguridad de la
informacin dentro de la organizacin. Esta normativa britnica acab
desembocando en la actual ISO/IEC 17799:2000 Code of practice
information security management. (aunque actualmente se sigue una
versin de 2005)
En un principio se consideraba por parte de las empresas que tenan que

protegerse de lo externo, de los peligros de Internet, pero con el paso del
tiempo se estn percatando de que no slo existen este tipo de amenazas
sino que tambin hay peligros dentro de la organizacin y todos stos
deberan ser contemplados a la hora de regularse. La aparicin de esta
normativa de carcter internacional ha supuesto una buena gua para las
empresas que pretenden mantener de forma segura sus activos.
La ISO/IEC 17799:2000 o la rebautizada por ISO 27002:2005 considera la

organizacin como una totalidad y tiene en consideracin todos los posibles
aspectos que se pueden ver afectados ante los posibles incidentes que
puedan producirse. Esta norma se estructura en 10 dominios en los que
cada uno de ellos hace referencia a un aspecto de la seguridad de la
organizacin:

Poltica de seguridad
Aspectos organizativos para la seguridad
Clasificacin y control de activos
Seguridad del personal
Seguridad fsica y del entorno
Gestin de comunicaciones y operaciones
Control de accesos
Desarrollo y mantenimiento de sistemas
Gestin de continuidad del negocio
Conformidad legal
En resumen esta norma pretende aportar las bases para tener en

consideracin todos y cada uno de los aspectos que puede suponer un
incidente en las actividades de negocio de la organizacin.
Esta norma es aplicable a cualquier empresa, sea cual sea el tamao, la

actividad de negocio o el volumen del mismo, esto es lo que se
denomina el principio de proporcionalidad de la norma, es decir que todos
los aspectos que aparecen en la normativa deben ser contemplados y
tenidos en cuenta por todas las organizaciones a la hora de proteger sus
activos, y la diferencia radicar en que una gran organizacin tendr que
utilizar ms recursos para proteger activos similares a los que puede poseer
una pequea organizacin. De la misma forma, dos organizaciones que
tengan actividades de negocio muy diferentes, no dedicarn los mismos
esfuerzos a proteger los mismos activos/informaciones. En pocas palabras,
esta norma debe tenerse como gua de los aspectos que deben tener
controlados y no quiere decir que todos los aspectos que en ella aparecen
tienen que ser implementados con los ltimos avances, eso depender de
la naturaleza de la propia organizacin.
Como hemos comentado la ISO/IEC 17799:2000 es una gua de buenas

prcticas, lo que quiere decir que no especifica como se deben proteger los
aspectos que aparecen indicados en ella, ya que estas decisiones
dependern de las caractersticas de la organizacin. Es por ello que en la
actualidad no es posible que las organizaciones se puedan certificar contra
este estndar, ya que no posee las especificaciones para ello.

Por el contrario, la precursora de esta norma, el BS 7799 s que posee

estas dos partes, una primera que representa el cdigo de buenas prcticas
y una segunda que los las especificaciones para la gestin de la seguridad
de los sistemas de informacin, y es contra esta segunda parte contra la
que las organizaciones que lo deseen pueden certificarse. La ISO
(Internacional Organization for Standardization) en la actualidad est
trabajando para confeccionar esta segunda parte del ISO/IEC 17799 con el
objetivo de que las organizaciones puedan certificarse contra esta norma de
carcter internacional.
As mismo esta normativa internacional ha servido a su vez como

precursora para otras de carcter nacional y en el caso de Espaa, en
noviembre de 2002 ya surgi la normativa UNE-ISO/IEC 17799 Cdigo de
buenas prcticas para la Gestin de la Seguridad de la Informacin
elaborada por AENOR y que a su vez est desarrollando la segunda parte
de esta normativa para que las empresas de mbito nacional puedan
certificarse contra ella.
Como conclusiones se puede decir que la normativa ISO/IEC 17799:2000

debe ser utilizada como un ndice de los puntos que pueden provocar algn
tipo de incidente de seguridad en una organizacin para que stas se
puedan proteger de los mismos, sin olvidarse aquellos que puedan parecer
ms sencillos de controlar hasta llegar a los que pueden suponer un mayor
dispendio de recursos a las organizaciones. (Artculo de Daniel Cruz en
Julio 2003)
Una empresa que no sea desarrolladora de software siempre posee un

equipo que se mueve con flexibilidad y rapidez para el mantenimiento de
programas. Seguir un modelo certificado significa para cualquier empresa
poder competir al nivel que desee, pero debe ser consciente de su
compaa, es decir, Qu se tiene?, Qu se quiere mejorar? y Qu se
necesita realmente? En resumen conocer nuestro contexto. Adems de que
debemos saber priorizar en cada momento que necesitamos en ese
momento, si nuestra empresa esta en un punto muy determinante de un
proyecto, los recursos deben dedicarse a ese proyecto, y la certificacin ya
se tendr en cuenta mas tarde, pero debemos saber que es lo mas
importante de cada momento para saber que recursos asignar y durante

cuanto tiempo, porque tambin es importante los recursos que empleamos

en esta tarea, si vamos a poner a dirigir los procesos de la empresa, esta
persona tiene que ser alguien experimentada y con conocimiento, ya que
debe poseer credibilidad para organizar la empresa.
Todo esto nos llevar a conocer de una manera organizada nuestro avance
a travs de hitos, de manera que podremos diagnosticar nuestra situacin
en cada momento. No se trata de hacer continuas auditoras sobre la
empresa, sino de localizar que se tiene en ese momento y como esta
avanzando, as como dar a conocer lo que es, para que es y como lo
podemos mejorar.
Un modelo como el CMM establece un conjunto de prcticas o procesos

clave agrupados en reas Clave de Proceso (KPA - Key Process Area).
Para cada rea de proceso define un conjunto de buenas prcticas que
habrn de ser:
Definidas en un procedimiento documentado

Provistas (la organizacin) de los medios y formacin necesarios
Ejecutadas de un modo sistemtico, universal y uniforme
(institucionalizadas)
Medidas
Verificadas
Una certificacin no significa que debamos invertir una ingente cantidad de

dinero en ello, pero si significa que debamos de implicarnos en ello,
instituciones como AETIC colaboran con empresas para fomentar la
certificacin, pero podemos empezar por modelos de standarizacin
gratuitos como los existentes en www.INTECO.es que son un primer paso
para empezar a hacer las cosas de una manera coordinada, organizada y
coherente. Existe adems un servicio de autodiagnstico en base a un
modelo CMMI, el cual, nos detecta debilidades y da recomendaciones,
adems de ofrecerte un seguimiento y comparativa entre nuestra empresa y
el resto del mercado.

ITIL define un marco de trabajo de las buenas prcticas destinadas a

facilitar la entrega de servicios de tecnologas de la informacin (TI). ITIL
resume un extenso conjunto de procedimientos de gestin ideados para
ayudar a las organizaciones a lograr calidad y eficiencia en las operaciones
de las TI. Estos procedimientos son independientes del proveedor y han
sido desarrollados para servir como gua que abarque toda infraestructura,
desarrollo y operaciones de TI.
Dicha biblioteca tiene su origen en un conjunto de libros, cada uno de ellos

dedicado a una prctica especfica dentro de la gestin de las TI. Tras la
publicacin inicial de estos libros, su nmero creci rpidamente (dentro la
versin 1) hasta unos 30 libros, seguidamente en su versin 2 se fueron
agrupando en conjuntos lgicos destinados a tratar los procesos de
administracin que cada uno cubre. De esta forma, diversos aspectos de los
sistemas de TIC, de las aplicaciones y del servicio se presentan en
conjuntos temticos. Actualmente existe la nueva versin ITIL v3.
Aunque el tema de Gestin de Servicios (Soporte al Servicio y Entrega de

Servicios) es el ms ampliamente difundido e implementado, el conjunto de
mejores prcticas ITIL provee un conjunto completo de prcticas que
abarca no slo los procesos y requerimientos tcnicos y operacionales, sino
que se relaciona con la gestin estratgica, la gestin de operaciones y la
gestin financiera de una organizacin moderna.

Los ocho libros de ITIL y sus temas son:
Gestin de Servicios de TI
1. Prestacin de Servicios
2. Soporte al Servicio
Otras guas operativas

3. Gestin de la infraestructura de TI
4. Gestin de la seguridad
5. Perspectiva de negocio
6. Gestin de aplicaciones
7. Gestin de activos de software
Para asistir en la implementacin de prcticas ITIL, se public un libro

adicional con guas de implementacin (principalmente de la Gestin de
Servicios):
8. Planeando implementar la Gestin de Servicios
Adicional a los ocho libros originales, ms recientemente se aadi una

gua con recomendaciones para departamentos de TIC ms pequeos:
9. Implementacin de ITIL a pequea escala
CMMI cubre desde la explotacin (CMMI-ITIL) hasta el desarrollo (CMMI-

DEV) cubriendo todo el ciclo de vida, es decir, es una gua para la mejora
en base a un modelo de madurez, que combinado con el Benchmark nos
indica que hacer pero no como hacerlo, no es una metodologa ni una
gestin de proyectos, pero si una combinaciones de ambos que nos
imprime un marco sobre el que moverse.

Existen 6 niveles de madurez basndonos en CMMI:
0- INCOMPLETO: El proceso no se realiza, o no se consiguen sus

objetivos.
1- EJECUTADO: Proceso impredecible, pero controlado. El proceso

se ejecuta y logra su objetivo.
2- GESTIONADO: Adems de ejecutarse, el proceso se planifica, se

revisa y se evala para comprobar que cumple los requisitos.
(similar a METRICA).
3- DEFINIDO: Estandarizacin de procesos adatados a la tipologa

de cada proyecto y siguiendo la poltica de procesos de la
organizacin:
Desarrollo de requisitos software
Solucin Tcnica
Verificacin
Validacin
4- GESTIONADO CUANTITATIVAMENTE:
Puesta en escena (Performance) de

los procesos organizativos
Gestin cuantitativa de proyectos
5- EN OPTIMIZACIN: Adems de ser un proceso

cuantitativamente gestionado, de forma sistemtica se revisa y
modifica o cambia para adaptarlo a los objetivos del negocio:
Anlisis causal
Innovacin y despliegue organizativo.
Mejora continua.

Lo que queremos es hacer una gestin del conocimiento, es decir, que la

empresa no represente una entrada y salida del producto, sino organizar unos
procesos para cuando exista un problema en el producto final, poder localizar y
arreglar/mejorar el producto desde el punto exacto en que sea hace mal. Seguir
una estructura CMMI que dictamine como organizar los pasos a seguir es algo
sobradamente til y eficaz, pero son los jefes de proyecto los que deben decidir
en cada situacin que es lo que mejor se adapta a su proyecto. Por ejemplo,
existe el modelo para software (CMM-SW) el cual establece 5 Niveles de
Madurez para clasificar a las organizaciones, en funcin de qu reas de
procesos consiguen sus objetivos y se gestionan con principios de ingeniera.
Es lo que se denomina un modelo escalonado, o centrado en la madurez de la
organizacin. La seleccin de las reas de Proceso estn prefijadas, habiendo
7 reas de proceso para el nivel de madurez 2 (ML2), 11 para el ML3, 2 para el
ML4 y 2 ms para el ML5.

El modelo para ingeniera de sistemas (SE-CMM) establece 6 Niveles de

Capacidad posibles para cada una de las 22 reas de proceso implicadas en la
ingeniera de sistemas. La organizacin puede decidir cuales son las reas de
Proceso que quiere mejorar determinando as su perfil de capacidad.
En el equipo de desarrollo de CMMI haba defensores de ambos tipos de

representaciones. El resultado fue la publicacin del modelo con dos
representaciones: continua y escalonada.
No son equivalentes, y cada organizacin/proyecto puede optar por adoptar la

que se adapte a sus caractersticas y prioridades de mejora. Pero con ello si
existe un control de fases equivalente que nos indica que un Nivel de Madurez
equivale a tener en un conjunto de reas de proceso determinado un
determinado Nivel de Capacidad.

La visin continua de una organizacin mostrar la representacin de nivel de

capacidad de cada una de las reas de proceso del modelo.
La visin escalonada definir a la organizacin dndole en su conjunto un nivel

de madurez del 1 al 5.
En el mbito de la gestin de seguridad informtica los modelos del NIST

(2003), el BS-7799 o ISO 17799 (Cano 2001) son referentes interesantes que
no establecen comos operacionales sino que definen lneas generales de
accin que deben ser afinadas y contextualizadas en la realidad de cada
organizacin. Sin embargo en el modelo del NIST, detallado en el documento
Security Metrics Guide for Information Technology Systems, se desarrolla el
concepto de mtrica de seguridad basado en la manera como se ejecutan y
alcanzan objetivos y metas de seguridad informtica, lo cual se materializa en
los resultados deseados de la implementacin de los programas de
implementacin requeridos para tal fin.

Esta dinmica sugerida por el modelo del NIST, esta soportada por un
programa de mtricas de cuatro componentes interdependientes:
- Soporte de la gerencia.
- Polticas y prcticas.
- Mtricas cuantificables de ejecucin y logro.
- Anlisis de mtricas.
Cada uno de ellos establece una serie de requisitos y procedimientos de

anlisis que para contar con un reporte de la gestin de la seguridad como
insumo para la toma de decisiones sobre el tema, as como las
responsabilidades de los niveles y cargos de las personas que intervienen.
El modelo es exigente (dado el alto grado de detalle, datos y operatividad que

requiere para su aplicacin) y con una alta dosis de cuestionarios requeridos
para detallar cada una de las reas de evaluacin que son objeto de esta gua.
Sera temerario pensar que la gua fuese la solucin al complejo conjunto de
relaciones que sugiere la gestin de seguridad, unida al detalle de la inversin,
pero si sugiere un camino formal para construir un puente entre la
incertidumbre que propone la administracin de la seguridad y el debido
reporte y rendicin de cuentas de los recursos que se le entregan a la
funcin de seguridad.

15. Glosario de Trminos
Accesos Autorizados. Autorizaciones concedidas a un usuario para la

utilizacin de los diversos recursos. En su caso, incluirn las autorizaciones o
funciones que tenga atribuidas un usuario por delegacin del responsable del
fichero o tratamiento o del responsable de seguridad.
Ejemplo. El acceso que realiza la empresa de mantenimiento informtico.
Afectado o interesado. Persona fsica titular de los datos que sean objeto del
tratamiento.
Ejemplo. En esta definicin entraramos todos los individuos de los que se
pueden obtener datos. Debemos tener claro, que el titular de los datos no es
quien los posee en un fichero, sino el propio individuo al que corresponden
esos datos.
Algoritmo MAC, (Message Authentication Code) funcin que devuelve un valor

de longitud fija que es vlida como identificador.
Autenticacin. Servicio que permite poder estar seguro de que el usuario que
accede al sistema es realmente ese usuario. Procedimiento de comprobacin
de la identidad de un usuario.
Ejemplo. Cualquier mecanismo o programa que permita identificar la
contrasea de acceso, la huella dactilar, la firma electrnica, etc.
Cancelacin. Procedimiento en virtud del cual el responsable cesa en el uso

de los datos. La cancelacin implicar el bloqueo de los datos, consistente en
la identificacin y reserva de los mismos con el fin de impedir su tratamiento
excepto para su puesta a disposicin de las Administraciones pblicas, Jueces
y Tribunales, para la atencin de las posibles responsabilidades nacidas del
tratamiento y slo durante el plazo de prescripcin de dichas
responsabilidades. Transcurrido ese plazo deber procederse a la supresin de
los datos.
Ejemplo. El ejercicio del derecho de cancelacin dar lugar a que se supriman
los datos que resulten ser inadecuados o excesivos, sin perjuicio del deber de
bloqueo conforme a este reglamento. Los datos de carcter personal debern

ser conservados durante los plazos previstos en las disposiciones aplicables o,

en su caso, en las relaciones contractuales entre la persona o entidad
responsable del tratamiento y el interesado.
Cesin o Comunicacin de Datos. Tratamiento de datos que supone su

revelacin a una persona distinta del interesado.
Ejemplo. Se considera cesin de datos la simple comunicacin, visualizacin o
consulta que un tercero realice, aunque sea a distancia y sin creacin de un
nuevo fichero o tratamiento nuevo.
Cdigo deontolgico. Es un documento que recoge un conjunto ms o menos

amplio de criterios, normas y valores que formulan y asumen quienes llevan a
cabo una actividad profesional.
Confidencialidad, servicio que nos garantiza que la informacin enviada

viajara sin ser vista por personas no autorizadas.
Consentimiento del Interesado. Toda manifestacin de voluntad, libre,

inequvoca, especfica e informada, por la que el interesado consienta el
tratamiento de datos personales que le conciernen.
Ejemplo. Supone que el titular autoriza el tratamiento de sus datos. Como regla
general, no se podrn tratar datos de carcter personal sin el consentimiento
de su titular. Adems, en algunos casos concretos, la Ley exige una
determinada forma de consentimiento; por ejemplo, por escrito.
Contrasea. Informacin confidencial, frecuentemente constituida por una

cadena de caracteres, que puede ser usada en la autenticacin de un usuario o
en el acceso a un recurso.
Ejemplo. Se ha impuesto el anglicismo password, pero tambin se pueden
considerar contraseas grabaciones para reconocimiento de voz, etc.
Control de Acceso. Mecanismo que en funcin de la identificacin ya

autenticada permite acceder a ciertos datos y/o recursos.
Ejemplo. En los ficheros de nivel alto, este control de accesos debe generar un
fichero lgico de control de accesos y de denegacin de accesos.

Copia de Respaldo. Copia de los datos de un fichero automatizado en un

soporte que posibilite su recuperacin.
Ejemplo. Comnmente llamada copia de seguridad.
Dato Disociado. Aqul que no permite la identificacin de un afectado o

interesado.
Ejemplo. Dato que no permite identificar a nadie. Por ejemplo, los datos
estadsticos, que no permiten identificar a las personas.
Datos de Carcter Personal. Cualquier informacin numrica, alfabtica,

grfica, fotogrfica, acstica o de cualquier otro tipo concerniente a personas
fsicas identificadas o identificables.
Ejemplo. Nombre, DNI, direccin, profesin, direccin de correo electrnico,
datos bancarios y cualquier otro tipo de informacin que est vinculada a una
persona fsica. La Ley slo protege a las personas fsicas. Las personas
jurdicas no estn bajo su amparo.
Datos de Carcter Personal Relacionados con la Salud. Las informaciones

concernientes a la salud pasada, presente y futura, fsica o mental, de un
individuo. En particular, se consideran datos relacionados con la salud de las
personas los referidos a su porcentaje de discapacidad y a su informacin
gentica.
Ejemplo. Los integrantes de la Historia Clnica, datos de minusvala, prcticas
sexuales, etc.
Derechos ARCO. Son los derechos de acceso, rectificacin, cancelacin y

oposicin.
Destinatario o Cesionario. La persona fsica o jurdica, pblica o privada u

rgano administrativo, al que se revelen los datos. Podrn ser tambin
destinatarios los entes sin personalidad jurdica que acten en el trfico como
sujetos diferenciados.
Ejemplo. La Agencia Tributaria es destinatario de los datos referentes a los
salarios y retenciones efectuadas por una empresa a sus empleados.

Documento. Todo escrito, grfico, sonido, imagen o cualquier otra clase de

informacin que puede ser tratada en un sistema de informacin como una
unidad diferenciada.
Ejemplo. Historia clnica, una carta, una grabacin de video vigilancia, etc.
Encargado del Tratamiento. La persona fsica o jurdica, pblica o privada, u

rgano administrativo que, solo o conjuntamente con otros, trate datos
personales por cuenta del responsable del tratamiento o del responsable del
fichero, como consecuencia de la existencia de una relacin jurdica que le
vincula con el mismo y delimita el mbito de su actuacin para la prestacin de
un servicio. Podrn ser tambin encargados del tratamiento los entes sin
personalidad jurdica que acten en el trfico como sujetos diferenciados.
Ejemplo. En ocasiones, la persona que efecta el tratamiento de los datos no
es el propio responsable del fichero, sino un tercero al que ste contrata para
que realice una tarea en su nombre. Este tercero no decide sobre la finalidad,
el objeto y el tratamiento de los datos, sino que recibe instrucciones del
responsable del fichero para tratarlos. El ejemplo tpico es la elaboracin de las
nminas por una gestora.
Exportador de Datos Personales. La persona fsica o jurdica, pblica o

privada, u rgano administrativo situado en territorio espaol que realice,
conforme a lo dispuesto en el presente Reglamento, una transferencia de datos
de carcter personal a un pas tercero.
Ejemplo. Las empresas que tienen una autorizacin para efectuar transferencia
internacional de datos.
Fichero. Todo conjunto organizado de datos de carcter personal, que permita

el acceso a los datos con arreglo a criterios determinados, cualquiera que fuere
la forma o modalidad de su creacin, almacenamiento, organizacin y acceso.
Ejemplo. Un fichero es tanto el conjunto de fichas en papel de los pacientes
que un dentista guarda por orden alfabtico, como la ms sofisticada base de
datos de clientes de una multinacional en forma automatizada.

Ficheros de Titularidad Privada. Los ficheros de los que sean responsables

las personas, empresas o entidades de derecho privado, con independencia de
quien ostente la titularidad de su capital o de la procedencia de sus recursos
econmicos, as como los ficheros de los que sean responsables las
corporaciones de derecho pblico, en cuanto dichos ficheros no se encuentren
estrictamente vinculados al ejercicio de potestades de derecho pblico que a
las mismas atribuye su normativa especfica.
Ejemplo. Todos los ficheros de empresas privadas o pblicas, comunidades de
vecinos, profesionales independientes, etc. Tambin aquellos ficheros de
entidades pblicas cuya finalidad no sea estrictamente pblica (por ejemplo, el
fichero de Formacin de un Colegio Profesional).
Ficheros de Titularidad Pblica. Los ficheros de los que sean responsables

los rganos constitucionales o con relevancia constitucional del Estado o las
instituciones autonmicas con funciones anlogas a los mismos, las
Administraciones pblicas territoriales, as como las entidades u organismos
vinculados o dependientes de las mismas y las Corporaciones de derecho
pblico siempre que su finalidad sea el ejercicio de potestades de derecho
pblico.
Ejemplo. Los ficheros de instituciones y organismos pblicos, colegios
profesionales, salvo que por su actividad sean considerados privados. Por
ejemplo, el censo de habitantes de un municipio.
Firma digital, conjunto de datos asociados a un mensaje que permite asegurar

la identidad del firmante y la integridad del mensaje.
Fuentes Accesibles al Pblico. Son aquellos ficheros cuya consulta puede

ser realizada por cualquier persona, no impedida por una norma limitativa o sin
ms exigencia que, en su caso, el abono de una contraprestacin.
Ejemplo. Exclusivamente son el censo promocional, las guas de servicios de
comunicaciones electrnicas (guas de telfonos), listas de colegios
profesionales, diarios y boletines oficiales y los medios de comunicacin social.

Funcin Hash, mtodo para generar claves o llaves que representen de

manera casi unvoca a un documento, registro, archivo, etc., resumir o
identificar un dato a travs de ella.
Integridad, servicio que garantiza que la informacin no vaya ha ser cambiada,

modificada o borrada, etc.
No repudio, servicio que garantiza que un usuario efecto una operacin u

accin dentro del sistema.
Persona Identificable. Toda persona cuya identidad pueda determinarse,

directa o indirectamente, mediante cualquier informacin referida a su identidad
fsica, fisiolgica, psquica, econmica, cultural o social. Una persona fsica no
se considerar identificable si dicha identificacin requiere plazos o actividades
desproporcionados.
Ejemplo. Aquella que puede ser identificada por los datos que poseemos en
nuestros ficheros. Por ejemplo, nmero de historia clnica, fecha de
nacimiento...
Proporcionalidad de la norma, todos los aspectos que aparecen en la

normativa deben ser contemplados y tenidos en cuenta por todas las
organizaciones a la hora de proteger sus activos, y la diferencia radicar en el
tamao de la organizacin a la hora de considerar la cantidad de activos a
proteger.
Repositorio, almacn lgico utilizado para organizar cronolgicamente los

cambios de la documentacin de un proyecto o de ficheros de programacin de
un grupo de trabajo.
Responsable del Fichero o del Tratamiento. Persona fsica o jurdica, de

naturaleza pblica o privada, u rgano administrativo, que slo o
conjuntamente con otros decida sobre la finalidad, contenido y uso del
tratamiento, aunque no lo realizase materialmente. Podrn ser tambin
responsables del fichero o del tratamiento los entes sin personalidad jurdica
que acten en el trfico como sujetos diferenciados.
Ejemplo. El responsable de los ficheros es la empresa. La palabra clave en
esta definicin es decida, que nos permitir distinguirlo de la figura del

encargado del tratamiento. Existen dos tipos de ficheros en funcin de su

responsable: ficheros de titularidad pblica (por ejemplo, el padrn municipal) y
ficheros de titularidad privada (los mantenidos por cualquier empresa privada,
por ejemplo, fichero de personal).
Responsable de Seguridad. La persona o personas a las que el responsable

del fichero ha asignado formalmente la funcin de coordinar y controlar las
medidas de seguridad aplicables.
Ejemplo. Es la persona interna de la compaa, designada por el responsable
del fichero, encargada de controlar y coordinar las medidas de seguridad que
se hayan implementado en la compaa. No tiene responsabilidad de cara al
exterior.
Sistema de Informacin. Conjunto de ficheros, tratamientos, programas,

soportes y en su caso, equipos empleados para el tratamiento de datos de
carcter personal.
Ejemplo. Es el conjunto de recursos que una organizacin utiliza para el
tratamiento de los ficheros de informacin.
Soporte. Objeto fsico que almacena o contiene datos o documentos, u objeto

susceptible de ser tratado en un sistema de informacin y sobre el cual se
pueden grabar y recuperar datos.
Ejemplo. CD, DVD, Pen-Drive, disquetes, papel, etc.
Tercero. La persona fsica o jurdica, pblica o privada u rgano administrativo

distinta del afectado o interesado, del responsable del tratamiento, del
responsable del fichero, del encargado del tratamiento y de las personas
autorizadas para tratar los datos bajo la autoridad directa del responsable del
trata-miento o del encargado del tratamiento. Podrn ser tambin terceros los
entes sin personalidad jurdica que acten en el trfico como sujetos
diferenciados.
Ejemplo. Cualquiera que sin autorizacin acceda a la informacin.
Transferencia Internacional de Datos. Tratamiento de datos que supone una

transmisin de los mismos fuera del territorio del Espacio Econmico Europeo,
bien constituya una cesin o comunicacin de datos, bien tenga por objeto la

realizacin de un tratamiento de datos por cuenta del responsable del fichero

establecido en territorio espaol.
Ejemplo. El envo de un fichero de clientes de una organizacin a un pas fuera
del espacio econmico europeo.
Tratamiento de Datos. Cualquier operacin o procedimiento tcnico, sea o no

automatizado, que permita la recogida, grabacin, conservacin, elaboracin,
modificacin, consulta, utilizacin, modificacin, cancelacin, bloqueo o
supresin, as como las cesiones de datos que resulten de comunicaciones,
consultas, interconexiones y transferencias.
Ejemplo. Encontrara cabida aqu cualquier tipo de operacin con datos
personales: confeccin de nminas, elaboracin de listas de alumnos o
asistentes a un congreso, envo de mailing, etc.
Usuario. Sujeto o proceso autorizado para acceder a datos o recursos.

Tendrn la consideracin de usuarios los procesos que permitan acceder a
datos o recursos sin identificacin de un usuario fsico.
Ejemplo. No confundir usuario con empleado. Usuario es cualquiera que est
autorizado al acceso a la informacin, aunque la vinculacin con la
organizacin no sea laboral.

16. Acrnimos
AEPD. Agencia Espaola de Proteccin de Datos: www.agpd.es.

AETIC. Asociacin de empresas de electrnica, Tecnologas de Informacin y
Telecomunicaciones de Espaa.
ARCO. Son los derechos de acceso, rectificacin, cancelacin y oposicin para
el almacenamiento de informacin personal.
BENCHMARK. Tcnica utilizada para medir el rendimiento de un sistema o
componente de un sistema.
BS 7799, estndar desarrollado por el British Standard Institute en 1999 en el
que se engloban todos los aspectos relacionados con la gestin de la
seguridad.
CIA. Control Informtico de Auditoras.
CMDB. Base de Datos de Configuracin
CMM. Capability Maturity Model. Modelo de Capacidad y Madurez, es un
modelo de evaluacin de los procesos de una organizacin.
CMM-SW. Modelo para el Software. Se basa en la madurez de los procesos.
CMMI. Capability Maturity Model Integration. Modelo para la mejora y
evaluacin de procesos para el desarrollo, mantenimiento y operacin de
sistemas de software.
CMMI-DEV. CMMI para el Desarrollo. En l se tratan procesos de desarrollo de
productos y servicios.
CPD. Centro de Proceso de Datos. Lugar donde normalmente se encuentran
los servidores de la empresa.
CRMR. Computer resource management review. Traducido, evaluacin de la
gestin de recursos informticos.
DNI. Documento Nacional de Identidad.
Firewalls. Programa que protege a una red de otra red. El firewall da acceso a
una maquina en una red local a Internet pero Internet no ve mas all del
firewall.
Insumo. Bien consumible utilizado en el proceso productivo de otro bien.
INTECO. Instituto Nacional de Tecnologas de la Comunicacin.
ISO. Internacional Organization for Standardization. Organizacin internacional
para la estandarizacin/normalizacin.

ITIL. Information Technology Infrastructure Library. Biblioteca de Infraestructura

de Tecnologas de Informacin, el cual define un marco de trabajo de buenas
prcticas aplicables en una empresa.
LOPD. Ley 15/1999, de 13 de diciembre, de Proteccin de Datos de Carcter
Personal.
LORTAD. Ley Orgnica 5/1992, de 29 de octubre, de Regulacin del
Tratamiento Automatizado de los Datos de Carcter Personal.
MTRICA. Bases para la sistematizacin de las actividades que dan soporte al
ciclo de vida del software.
NIST. Security Metrics Guide for Information Technology Systems, modelo
que desarrolla el concepto de mtrica de seguridad basado en la manera como
se ejecutan y alcanzan objetivos y metas de seguridad informtica
NOTA. Programa de notificacin de ficheros al RGPD: Notificaciones
Telemticas a la Agencia.
OSI. Oficina de seguridad del internauta
PMI. Project Management Institute
PMBOK. Project Management Body Of Knowledge, se utiliza como norma
internacional para la gestin de proyectos.
RGPD. Registro General de Proteccin de Datos.
RDLOPD. Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba
el Reglamento de desarrollo de la Ley Orgnica 15/1999, de 13 de diciembre,
de Proteccin de Datos de Carcter Personal.
RSA. Algoritmo de cifrado asimtrico basado en una clave pblica con la que
ciframos los mensajes, y una clave privada que solo conoce el propietario con
la cual se descifran los mensajes.
SAT. Servicio de asistencia Tcnica.
SCAMPI. Standard CMMI Appraisal Method for Process Improvement. Mtodo
oficial SEI para proveer puntos de referencia de sistemas de calificacin en
relacin con los modelos CMMI.
SLA (Service Level Agreement). Acuerdo de Nivel de Servicio, es un
documento habitualmente anexo al Contrato de Prestacin de Servicios. En el
SLA se estipulan las condiciones y parmetros que comprometen al prestador
del servicio (habitualmente el proveedor) a cumplir con unos niveles de calidad
de servicio frente al contratante de los mismos (habitualmente el cliente).
TI. Tecnologas de la informacin.

17. Bibliografa
Libros utilizados:
J.M. Alonso, J.L.Garca, Antonio Soto, David Suz, Jos Helguero, M Estrella
Blanco, Miguel Vega y Hctor Snchez. 2009.
La proteccin de datos personales. Soluciones en Entornos Microsoft.
Espaa. Microsoft Ibrica S.R.L.
Real Decreto:
REAL DECRETO 1720/2007, de 21 de diciembre, por el que se aprueba el

Reglamento de desarrollo de la Ley Orgnica 15/1999, de 13 de diciembre,
de proteccin de datos de carcter personal. (B O E nm. 17, de 19 de
Enero de 2008)
Artculos:
ISO 17799: La Gestin de la seguridad. Julio 2003 Daniel Cruz.

http://www.virusprot.com/Art41.htm
Como comprar un software de Seguridad Informtica. Septiembre 2003
Jos de Jess ngel ngel http://www.virusprot.com/Art44.html
Apuntes sobre la inversin y gestin de la gestin Informtica. Junio 2004
Jeimy J. Cano http://www.belt.es/expertos/experto.asp?id=2340
La Auditora informtica dentro de las etapas de Anlisis de Sistemas
Administrativos. Noviembre 2000 Eduardo Horacio Quinn
http://www.monografias.com/trabajos5/audi/audi.shtml
Apuntes:
Miguel A. Ramos. Febrero 2008. Apuntes de Auditora Informtica de la

Universidad Carlos III de Madrid.

Enlaces de Internet utilizados como referencias:
Fundamentos de la Gestin TI.
http://itil.osiatis.es/Curso_ITIL/Gestion_Servicios_TI/fundamentos_de_la_
gestion_TI/que_es_ITIL/que_es_ITIL.php
Habla ITIL? http://www.axiossystems.com/es/downloads/itil.pdf
Auditora Informtica. Ingeniera del Software III. Gabriel Buades 2.002

http://dmi.uib.es/~bbuades/auditora/index.htm
Definicin de CMMI. 4 oct 2009 http://es.wikipedia.org/wiki/CMMI
Tercer congreso iberoamericano de seguridad informtica. Sesin 12. Dra

Sandra Cristina Riascos E.
http://cibsi05.inf.utfsm.cl/presentaciones/sesion12/HERRAMIENTAS_UTILIZAD
AS_PARA_LA_AUDITORA.pdf
RDLOPD comparada a LOPD. 10 de Febrero de 2008. Audea Seguridad

informtica. http://www.abogados-lopd.es/noticias/rlopd-vs-lopd/
www.acens.com (algunas definiciones

Agradecimientos:
- Miguel Angel Ramos. Su dedicacin y buen hacer me ha llevado

a finalizar este libro como algo de lo que sentirme orgulloso.
Gracias por contestar mis correos con tanta celeridad
mostrndome los errores y el mejor camino a seguir en cada
momento.
- Antonio Folgueras. Sus buenas maneras y su mpetu por querer

hacer las cosas lo mejor posible me han sido transmitidas desde
el primer correo hasta la ltima palabra escrita en este
documento. Gracias por ayudarme a organizar adecuadamente
todo lo relacionado con COBIT para evitar que me pusieran un
ojo morado en la presentacin.
- Profesorado Universidad Carlos III de Madrid. En lneas

generales me he sentido instruido por un gran nivel de calidad, si
bien los primeros aos es mas difcil encontrar buenos
profesores, en los ltimos me ha sido imposible no encontrarlos,
tanto titulares como asociados garantizan una enseanza
ilusionante, en el tintero seguro que me dejar alguno, pero
quiero dar las gracias a: Julio Alba, Carlos Linares, Araceli
Sanchs, Paloma Martinez, Fuensanta Medina, Juan Manuel
Canelada, Benjamn Ramos, Pablo Martn, Ral Prez, Mayte
Vicente, Soledad Escolar y Elisenda Molina.

PFC German Ramirez Rodriguez

Diunggah oleh

Informasi Dokumen

Hak Cipta

Format Tersedia

Bagikan dokumen Ini

Bagikan atau Tanam Dokumen

Opsi Berbagi

Apakah menurut Anda dokumen ini bermanfaat?

Apakah konten ini tidak pantas?

Hak Cipta:

Format Tersedia

PFC German Ramirez Rodriguez

Diunggah oleh

Hak Cipta:

Format Tersedia

Universidad Carlos III de Madrid

Repositorio institucional e-Archivo http://e-archivo.uc3m.es

Sobre la auditora informtica y LOPD

Ramrez Rodrguez, Germn

Descargado de e-Archivo, repositorio institucional de la Universidad Carlos III de Madrid

UNIVERSIDAD CARLOS III DE MADRID

Ingeniera Tcnica en Informtica de

Autor: Germn Ramrez Rodrguez

A mis padres, todo un

Proyecto fin de carrera de Germn Ramrez Rodrguez 1

4- mbitos de aplicacin de la auditora informtica

5- Tipos de Auditora Informtica

6- Principales pruebas y herramientas de la auditora informtica

7- Ventajas y Desventajas de la auditora informtica

8- Resultados y Productos de una auditora informtica interna

i. R.D. 994/1999(RDLOPD 1720/2007 Ttulo VIII actualmente):

Medidas de seguridad en el tratamiento de datos de carcter

ii. Modelo Conceptual de la exposicin final

iii. Metodologa CRMR

1. Sistemtica para la evaluacin y clculo del ciclo de seguridad

2. Perfiles profesionales de auditores informticos

9- Resultados y Productos de una auditora informtica externa

b. La autorregulacin: los cdigos tipo

i. Los cdigos tipo inscritos

1. Pasos previos a la recogida de informacin

2. Durante el tratamiento de los datos

3. Una vez finalizado el tratamiento

Proyecto fin de carrera de Germn Ramrez Rodrguez 2

10- Por qu no se aplica una auditora informtica? (con ejemplos)

11- Soluciones a como afrontar el resultado de una auditora informtica

a. Seguridad y Proteccin de la Informacin

b. Gestin de la calidad del Software

12- Definicin de una aplicacin que afronta este problema:

i. Objetivo del programa

ii. mbito de la aplicacin

iii. Por qu usarlo?

iv. Ideas y Ventajas.

13- Experiencias previas del alumno

14- Es la solucin una certificacin?

15- Glosario de trminos

17- Bibliografa y Agradecimientos

Proyecto fin de carrera de Germn Ramrez Rodrguez 3

Durante tres aos he trabajado mediante becas como tcnico de sistemas en

Es la realidad que yo he podido observar en mis experiencias laborables, no

Proyecto fin de carrera de Germn Ramrez Rodrguez 4

Proyecto fin de carrera de Germn Ramrez Rodrguez 5

Veamos un pequeo resumen de cada uno de los temas tratados en el libro:

2- mbitos de aplicacin de la auditora informtica

3- Tipos de Auditora Informtica

4- Principales pruebas y herramientas de la auditora informtica.

El auditor dispone de una serie de pruebas y herramientas basadas en

Proyecto fin de carrera de Germn Ramrez Rodrguez 6

5- Ventajas y Desventajas de la auditora informtica

Qu se hace? <-> Qu se debera hacer?

6- Resultados y Productos de una auditora informtica interna

i. R.D. 994/1999(RDLOPD 1720/2007 Ttulo VIII actualmente):

ii. Modelo Conceptual de la exposicin final: Defino de una

Proyecto fin de carrera de Germn Ramrez Rodrguez 7

iii. Metodologa CRMR

He credo interesante incluir esta metodologa ya que

1. Sistemtica para la evaluacin y clculo del ciclo de seguridad

7- Resultados y Productos de una auditora informtica externa

Analizo las bases de una auditora informtica externa o independiente

Seguidamente vuelvo a hacer hincapi en la ley de proteccin de datos